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密码 学 原本 是 一 门 古老 的 学 科 , 在 过 去 很 多 年 里 和 人 们 的 生产 
生活 关系 也 不 大 。 但 随 着 Internet 和 电子 商务 的 出 现 和 普及 ,密码 
学 正 逐 渐 走 入 人 们 生活 的 方方面面 ,为 人 们 的 信息 安全 起 着 保驾 护 
航 的 作用 。 

从 宏观 上 来 看 ,密码 学 对 电子 商务 的 发 展 起 到 了 姓 庸 置疑 的 促 
进 作用 ,因此 ,密码 技术 的 进步 间接 地 促进 了 我 国 经 济 的 发 展 , 同 
时 ,密码 学 还 被 广泛 应 用 到 电子 政务 、 物 联网 等 各 个 领域 , 带 来 了 巨 
大 的 社会 效益 和 经 济 效益 。 

为 了 培养 掌握 密码 学 原理 及 技术 的 专门 人 才 , 很 多 高 等 院 校 的 
计算 机 科学 与 技术 、 信 息 安 全 、 网 络 工程 .信息 管理 等 专业 都 开设 有 
密码 学 方面 的 课程 ,但 密码 学 原理 只 有 与 具体 的 应 用 技术 结合 才能 
产生 实用 价值 。 作 者 在 多 年 的 教学 实践 中 发 现 ,密码 学 教学 在 讲授 
基本 原理 的 同时 ,还 应 侧重 于 讲授 密码 学 在 电子 商务 、 物 联网 等 领 
域 的 应 用 ,以 提高 学 生 的 实际 应 用 能 力 和 学 习 这 门 课程 的 兴趣 。 

同时 ,学 习 密 码 学 的 不 同 应 用 还 能 使 学 生 了 解密 码 学 的 发 展 趋 
势 ,例如 ,由 于 计算 和 存储 能 力 的 差别 ,密码 学 在 电子 商务 安全 和 物 
联网 安全 中 的 应 用 是 显著 不 同 的 ,在 电子 商务 安全 中 , 公 钥 密码 算 
法 被 大 量 使 用 ,以 实现 身份 认证 、 签 名 等 需求 ,而 在 物 联网 安全 协议 
中 ,即使 是 身份 认证 ,也 一 般 采 用 对 称 密码 和 散 列 函数 来 实现 ,特别 
是 轻 量 级 分 组 加 密 算法 。 因 此 ,密码 算法 具有 向 重量 级 和 轻 量 级 两 
头发 展 的 趋势 。 

本 书 在 编写 过 程 中 力求 体现 以 下 特色 : 

(1) 新 颖 性 。 本 书 介绍 了 一 些 具有 代表 性 且 具 有 很 强 应 用 前 景 
的 技术 。 如 散 列 链 、 前 向 安全 数字 签名 、 讶 签名、 电子 现金 .量子 密 
码 等 ,以 及 典型 密码 技术 的 应 用 ,包括 电子 商务 安全 协议 、 电 子 支付 
安全 、 物 联网 安全 等 领域 。 

(2) 全 面 性 。 密 码 学 的 用 途 早已 不 再 局 限于 加 密 和 解密 方面 ， 
还 包括 数字 签名 、 身 份 认 证 、 数 字 证 书 和 PKI 等 应 用 。 本 书 对 密码 
学 的 各 种 用 途 作 了 全 面 的 介绍 。 


Nuss sin 


(3) 实用 性 。 本 书 对 密码 学 原理 的 介绍 力求 做 到 详细 、 通 俗 且 符合 认 知 逻辑 ,在 讲述 
有 关 密 码 学 基本 理论 之 前 ,介绍 了 相关 的 数论 知识 ,并 在 每 个 知识 点 后 都 给 出 了 例题 ,以 
方便 教师 授课 和 学 生 自学 。 

本 书 的 知识 结构 可 分 为 概述 .原理 .应 用 三 大 块 ,内 容 如 下 : 第 1 章 为 概述 ,第 2 一 6 
章 为 密码 学 的 基本 内 容 ,第 7 一 10 章 为 密码 学 的 各 种 具体 应 用 ,第 11 章 为 安全 管理 的 
内 容 。 

本 书 的 理论 教学 课时 以 54 课时 为 宜 。 对 于 目录 中 带 * 号 的 部 分 ,可 以 根据 需要 选 
择 性 讲解 。 本 书 注 重 教 材 立 体 化 建设 ,每 章 后 都 提供 了 具有 丰富 题 型 的 习题 ,并 为 教师 
提供 如 下 配套 资料 : PPT 课件、 习题 答案 、 考 试 试卷 、 教 学 大 岗 等 ,可 登录 清华 大 学 出 版 
社 网 站 免费 下 载 ,也 可 和 作者 联系 (tangsix@163. com)。 

本 书 由 唐 四 薪 、 李 浪 、 谢 海 波 编著 , 唐 四 薪 编 写 了 第 3 一 9 章 和 第 10 章 的 部 分 内 容 ， 
李 浪 编写 了 第 1、2 章 , 谢 海 波 编写 了 第 11 章 的 内 容 。 参 加 编写 的 还 有 唐 琼 、 肖 望 喜 、 喻 
缘 、 印 飞 . 谭 晓 兰 、 何 青 、 刘 艳 波 、 戴 小 新 . 尹 军 \ 刘 燕 群 、 陆 彩 琴 、 唐 金 娟 等 ,他 们 编写 了 第 
10 章 的 部 分 内 容 。 衔 阳 师 范 学 院 李 浪 教授 对 本 书 进 行 了 审定 。 

本 书 的 写作 得 到 了 国家 自然 科学 基金 资助 项 目 (61572174) 的 资助 ,并 得 到 了 湖南 省 
教育 厅 科 学 研究 课题 (15C0204、15A029、15C0202) 的 资助 。 

本 书 在 编写 过 程 中 参考 了 大 量 专家 学 者 的 图 书 和 论文 资料 ,作者 已 尽 可 能 地 在 参考 
文献 中 列 出 , 谨 在 此 向 有 关 作者 表示 感谢 , 若 有 疏 漏 , 也 在 此 表示 歉意 。 由 于 本 人 水 平和 
教学 经 验 有 限 , 加 之 书 中 部 分 内 容 比较 前 沿 , 书 中 错误 和 不 当 之 处 在 所 难免 , 敬 请 广大 读 
者 和 同行 批评 指正 。 
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由 于 Internet 的 广泛 普及 与 使 用 ,其 应 用 已 深入 渗透 到 商业 金融、 政府 、 文 教 等 诸 
多 领域 。Internet 信息 和 服务 在 给 合法 用 户 带 来 方便 的 同时 ,也 让 非法 用 户 变 得 有 机 
可 乘 。 

密码 学 是 一 门 古老 的 学 科 , 大 概 自 人 类 社会 产生 战争 便 产 生 了 密码 。 在 古代 ,由 于 
密码 技术 长 期 仅 用 于 军事 ,政治 和 外 交 等 领域 的 保密 通信 ,因此 与 人 们 的 日 常生 活 没有 
多 大 关系 。 但 是 , 随 着 计算 机 网 络 越 来 越 深 入 地 应 用 到 人 们 的 生活 和 工作 中 ,出 现 了 诸 
如 电子 商务 .电子 政务 .网络 金融 .证 券 交 易 这 些 对 信息 安全 要 求 很 高 的 网 络 应 用 ,使 得 
密码 学 受到 人 们 的 广泛 关注 。 

一 般 来 说 ,信息 安全 保障 需要 依赖 各 种 安全 机 制 来 实现 ,而 许多 安全 机 制 则 依赖 于 
密码 技术 。 使 用 密码 技术 不 仅 可 以 保障 信息 的 机 密 性 ,而 且 还 可 以 保护 信息 的 完整 性 和 
真实 性 ,防止 信息 被 算 改 、 伪 造 和 假冒 。 因 此 ,密码 学 是 信息 安全 的 技术 基础 ,其 应 用 贯 
穿 于 网 络 信息 安全 的 整个 过 程 ,在 解决 信息 的 机 密 性 保护 、 完 整 性 保护 、 可 鉴别 性 和 信息 
抗 抵赖 性 等 方面 发 挥 着 重要 的 作用 ,并 已 渗透 到 信息 系统 安全 工程 的 各 个 领域 和 大 部 分 
安全 机 制 的 实现 中 。 


11 信和 齐 安 全 概况 


“安全 ”一 词 并 没有 统一 的 定义 ,对 安全 的 基本 含义 可 以 理解 为 : 客观 上 不 存在 威胁 ， 
主观 上 不 存在 恐惧 。 

信息 作为 一 种 资源 由 于 其 普遍 性 、 共 享 性 ,增值 性 、 可 处 理性 和 多 效用 性 ,使 其 对 于 
人 类 具有 特别 重要 的 意义 。 信 息 安 全 的 实质 就 是 要 保护 信息 系统 或 信息 网 络 中 的 信息 
资源 免 受 各 种 类 型 的 威胁 \ 干 扰 和 破坏 , 即 保证 信息 的 安全 性 。 

信息 安全 是 指 信息 系统 (包括 硬件 .软件 数据、 人、 物理 环境 及 其 基础 设施 ) 受 到 保 
护 ,不 因 偶然 的 或 者 恶意 的 原因 而 遭 到 破坏 更改. 泄露 ,系统 能 够 连续 、 可 靠 、 正 常 地 运 
行 ,信息 服务 不 被 中 断 ,最 终 实现 业务 连续 性 。 信 息 安 全 主要 包括 以 下 5 方面 的 内 容 , 即 
需 保证 信息 的 保密 性 、 真 实 性 、 完 整 性 、 可 用 性 和 所 寄生 系统 的 安全 性 。 

信息 安全 可 分 为 狭义 安全 与 广义 安全 两 个 层次 ,狭义 的 安全 是 建立 在 以 密码 学 为 基 
础 的 计算 机 安全 技术 领域 :广义 的 信息 安全 是 一 门 综合 性 学 科 ,安全 不 再 是 单纯 的 技术 


.1: 全 应 几 


问题 ,而 是 将 管理 ,技术 、 法 律 等 问题 相 结合 的 产物 。 
111 信息 安全 对 电子 商务 发 展 的 影响 


信息 安全 的 重要 性 在 电子 商务 发 展 中 体现 得 最 为 明显 。 电 子 商 务 已 经 逐渐 成 为 人 
们 进行 商务 活动 的 新 模式 ,作为 一 种 新 的 经 济 形式 正 改变 着 社会 生活 的 方方面面 ,也 为 
人 们 带 来 了 无 限 商 机 。 但 安全 问题 一 直 成 为 电子 商务 发 展 的 制约 因素 ,这 表现 在 : 一 些 
个 人 和 商业 机 构 对 是 否 采 用 电子 商务 仍 持 观望 态度 ,因为 他 们 担心 自己 的 银行 卡 是 否 会 
被 盗用 ,或 担心 自己 的 客户 信息 会 被 窃取 。 

据 中 国 互联 网 络 信息 中 心 (CNNIC)2015 年 7 月 发 布 的 (第 36 次 中 国 互联 网 络 发 展 
状况 统计 报告 显示, 中 国 网 民 规模 已 达 6. 68 亿 , 网 购 用 户 规模 达到 了 3. 73 亿 , 这 意味 
着 有 近 三 分 之 一 的 中 国人 在 进行 网 络 购物 。 从 这 个 意义 上 讲 , 电 子 商 务 与 人 们 的 生活 已 
越 来 越 密切 ,并 已 经 渗透 到 各 行 各 业 。 电 子 商务 作为 一 种 新 的 经 济 形势 已 经 成 为 不 争 的 
事实 ,这 使 得 越 来 越 多 的 企业 开始 重视 电子 商务 的 作用 ,搭建 自己 的 电子 商务 网 站 和 交 
易 平台 。 

报告 还 指出 ,2011 年 上 半年 有 85.7% 的 网 民 在 网 上 查询 过 商品 信息 ,但 只 有 29% 的 
网 民 实现 了 网 上 购物 。 这 表明 ,网 上 购物 的 人 群 占 网 民 总 人 数 的 比例 还 处 于 较 低 的 水 
平 , 目 前 大 多 数 网 民 对 电子 商务 还 是 持 观望 或 不 信任 的 态度 。 

许多 网 民 不 愿意 网 上 购物 固然 与 他 们 的 购物 习惯 和 上 网 熟练 程度 有 关 , 但 对 于 安全 
问题 的 担心 也 是 一 个 不 可 忽视 的 重要 因素 。 而 且 对 于 那些 参与 电子 商务 交易 的 网 民 来 
说 ,其 购物 也 多 是 集中 在 书籍 .服饰 .数码 产品 等 价值 较 低 的 领域 。 这 表明 我 国电 子 商务 
发 展 的 广度 和 深度 均 未 达到 其 应 有 的 水 平 , 而 解决 安全 问题 是 将 电子 商务 向 纵深 推进 的 
必要 条 件 。 

相对 于 传统 商务 ,电子 商务 对 管理 水 平 、 信 息 传输 技术 等 都 提出 了 更 高 的 要 求 ,其 中 
安全 体系 的 构建 尤为 重要 ,电子 商务 迫切 需要 有 效 的 安全 保障 机 制 和 措施 。 总 的 来 看 ， 
在 运用 电子 商务 模式 进行 交易 的 过 程 中 ,信息 安全 问题 成 为 了 电子 商务 最 核心 的 问题 ， 
也 是 电子 商务 得 以 顺利 推行 的 保障 。 信 息 安全 的 重要 性 表现 在 以 下 两 方面 。 


1. 安全 问题 是 实施 电子 商务 的 关键 因素 


人 类 传统 的 交易 是 面对面 进行 的 ,可 以 当面 识别 对 方 身份 ,当面 清点 钱 物 ,因而 比较 
容易 保障 交易 双方 的 信任 关系 和 交易 过 程 的 安全 性 。 而 电子 商务 活动 中 的 交易 行为 是 
通过 网 络 进行 的 ,买卖 双方 互 不 见面 ,因而 缺乏 传统 交易 中 的 信任 感 和 安全 感 。 

根据 CNNIC 发 布 的 (中 国 互联 网 络 发 展 状况 统计 报告 ), 在 电子 商务 方面 ,52. 26% 
的 用 户 最 关心 的 是 交易 的 安全 可 靠 性 。 由 此 可 见 , 电 子 商务 中 的 网 络 安全 和 交易 安全 问 
题 是 实现 电子 商务 的 关键 之 所 在 。 

Internet 所 具有 的 开放 性 是 电子 商务 方便 快捷 、 被 广泛 接受 的 基础 ,而 开放 性 本 身 又 
会 使 网 上 交易 面临 种 种 危险 。 比 如 ,在 开放 的 网 络 上 处 理 交易 ,如 何 保证 传输 数据 的 安 
全 成 为 电子 商务 能 否 普 及 的 最 重要 的 因素 之 一 。 


使 = 信息 安全 


2. 信息 安全 涉及 国家 经 济 安全 


从 宏观 上 看 ,电子 商务 在 我 国 各行 各 业 逐 步 普 及 ,应 用 不 断 深入 ,电子 商务 安全 对 国 
家 安全 的 影响 也 在 不 断 加 深 ,这 主要 表现 在 两 个 方面 : 一 是 危及 经 济 安全 。 随 着 电子 商 
务 活动 的 普及 , 越 来 越 多 的 资金 流 在 网 络 中 流动 , 极 大 地 诱惑 着 不 法 分 子 犯 罪 。 以 网 络 
为 基础 构建 的 银行 ,证券 等 金融 系统 成 为 现代 社会 运行 的 核心 ,一 旦 这 些 系统 遭受 攻击 
或 者 破坏 出 现 故 障 , 便 直接 危及 国家 经 济 安全 。 例 如 ,采用 网 络 攻击 手段 进行 商业 欺诈 
和 勒索 ,窃取 、 算 改 和 盗用 信息 ,销售 假 货 等 类 型 的 网 络 经 济 犯罪 活动 正 急剧 增加 ,这 会 
对 我 国 经 济 发 展 和 人 金融 秩序 造成 严重 危害 。 二 是 影响 社会 稳定 。 银 行 、 保 险 、 税 务 ,证 
券 . 民 航 、 医 疗 等 行业 都 开始 实施 电子 商务 ,这 些 领域 一 旦 出 现 比较 严重 的 信息 安全 问 
题 , 则 有 可 能 会 严重 影响 人 民 的 生活 ,进而 影响 社会 稳定 。 例 如 ,铁道 部 的 购 票 网 站 由 于 
访问 速度 缓慢 而 饱 受 人 们 诉 病 ,一 度 使 春节 购 票 成 为 广大 人 民 和 群众 关注 的 焦点 问题 。 因 
此 ,安全 建设 工作 必须 贯穿 电子 商务 建设 的 整个 过 程 。 

根据 调查 显示 ,目前 电子 商务 安全 主要 存在 的 问题 包括 计算 机 网 络 安全 、 商 品 的 品 
质 、 商 家 的 诚信 、 货 款 的 支付 \ 商 品 的 递送 .买卖 纠纷 的 处 理 、 网 站 售后 服务 7 个 方面 。 这 
7 个 方面 的 问题 可 以 归结 为 两 大 部 分 : 计算 机 网 络 安全 和 电子 交易 安全 。 


“112 威胁 网 络 信息 安全 的 案例 


针对 网 络 信息 安全 的 威胁 主要 有 利用 网 络 进行 盗窃 .诈骗 ,利用 Internet 虚假 宣传 
欺骗 消费 者 ,窃取 企业 或 政府 部 门 的 机 密 , 侵 犯 消 费 者 的 个 人 隐私 等 。 


1. 利用 网 络 进行 盗窃 


在 电子 商务 交易 中 ,人 们 需要 网 上 银行 和 第 三 方 支付 平台 进行 网 上 支付 。 目 前 ,对 
网 上 银行 或 支付 平台 账户 的 保护 措施 一 般 是 设置 密码 或 安装 数字 证 书 等 手段 ,但 这 些 保 
护 措施 常会 由 于 人 们 的 玻 忽 或 犯罪 分 子 精心 设计 的 圈套 而 被 破解 ,使 得 账户 里 的 资金 被 
盗 。 目前, 网络 盗 穷 犯罪 主要 有 两 种 方式 : 

(1) 利用 网 络 向 受害 人 电脑 植 入 木马 ,通过 各 种 方式 引诱 用 户 访问 含有 木马 的 网 站 
或 安装 木马 程序 ,以便 盗 取 账号 .密码 ,再 盗窃 账户 资金 。2006 一 2009 年 间 , 长 沙 人 李 某 
将 “网 银 大 资 " 和 "* 灰 铝 子 "两 种 木马 病毒 放 在 租用 的 服务 器 上 ,通过 这 两 种 木马 窃取 受 感 
染 网 民 的 网 银 存款 ,他 用 这 种 手段 先后 窃取 受害 者 银行 资金 40 余万元 。 

(2) 利用 钓鱼 网 站 诱骗 用 户 输入 账号 、 密 码 信 息 . 从 而 瓷 取 资金 。 “网络 钓鱼 ”是 指 犯 
罪 分 子 通过 伪造 的 假 网 站 或 网 页 等 手法 , 咨 取 用 户 的 银行 账号 ,证券 帐号、 密码 信息 和 其 
他 个 人 资料 ,然后 以 转账 ` 网 上 购物 或 制作 假 卡 等 方式 获取 利益 。2008 年 8 月 域名 为 
www. taobaof. net 的 网 站 从 域名 到 网 页 布局 都 模仿 淘宝 网 ,骗取 用 户 的 网 上 银行 账号 、 
密码 ,从 而 盗 取 用 户 银 行 资金 。 


2. 利用 网 络 进行 诈骗 
网 络 诈骗 犯罪 本 质 就 是 伪造 身份 ,骗取 对 方 信 任 。 目 前 ,网 络 诈骗 的 主要 手段 有 
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两 种 

(1) 在 购物 网 站 上 发 布 各 类 虚假 信息 ,实施 诈骗 。 这 类 诈骗 活动 又 分 为 两 种 。 

一 种 是 商家 欺骗 客户 。 如 商家 在 交易 平台 上 开设 商铺 ,发 布 超 低 价 商品 信息 ,哄骗 
客户 将 货款 直接 转账 到 其 银行 账户 下 ( 即 不 通过 支付 平台 支付 的 场 外 交易 ) ,商家 收 到 货 
款 后 ,不 发 货 或 者 发 一 些 明 显 与 质量 不 符 的 货物 。 

男 一 种 是 客户 欺骗 商家 ,比如 向 商户 购买 商品 ,通过 聊天 工具 给 商户 发 送 伪造 的 支 
付 凭证 , 诱 使 商户 银 旋 发 货 ,类 似 这 样 的 案子 有 很 多 。 

(2) 在 互联 网 上 开设 虚假 网 站 行 骗 。 

犯罪 分 子 开设 虚假 网 站 ,发 布 虚 假 供 货 信息 或 高 额 回报 的 集资 信息 ,得 手 后 ,往往 
“网 间 燕 发 ”, 人 去 网 空 ,这 类 诈骗 案件 的 犯罪 分 子 利用 在 互联 网 上 开设 网 站 手续 简便 、 快 
捷 和 隐蔽 的 特点 ,有 人 圭 无 恐 。 

如 2007 年 ,一 个 自称 “美国 科技 基金 网 ”的 网 站 打 着 专门 从 事 高 收益 投资 项 目的 由 
子 ,鼓励 投资 者 投入 8800 元 人 民 币 ,就 可 在 网 上 获取 ID 号 ,从 第 二 天 每 天 返利 440 元 人 
民 币 ,一 共 返 利 50 天 。 如 果 发 展 了 “下 线 ” 还 可 获得 下 线 投资 额 的 10% 作 为 奖励 。 该 网 
站 最 初 几 个 星期 还 可 以 兑现 返利 ,但 3 个 月 后 突然 消失 ,在 这 期 间 , 受 害 者 达 1400 余人 ， 
被 骗 金额 880 多 万 元 。 


3. 侵犯 消费 者 的 隐私 


消费 者 的 个 人 隐私 包括 消费 者 的 电话 号 码 、 银 行 账号 .购物 记录 、 姓 名 、 住 址 .身份 
证 号 码 等 。 不 法 分 子 可 以 通过 在 网 上 发 布 在 线 调查 、 抽 奖 .注册 或 者 免费 赠送 礼品 等 
活动 要 求 用 户 输入 个 人 资料 ,以 窃取 消费 者 的 身份 证 号 .银行 卡 密码 等 敏感 信息 。 另 
一 种 方法 是 通过 攻破 一 些 大 型 的 网 站 ,再 获取 这 些 网 站 数据 库 中 保存 的 用 户 资料 信 
息 。 不 法 分 子 窃取 到 消费 者 的 隐私 信息 后 ,可 能 利用 这 些 信息 向 消费 者 发 送 垃圾 信 
息 ,根据 隐私 信息 破解 用 户 的 账号 密码, 甚至 以 将 隐私 信息 公开 相 威 胁 , 向 用 户 或 网 
站 敲诈 勒索 。 


4. 窃取 企业 或 政府 部 门 的 机 密 


企业 的 商业 机 密 是 指 不 为 公众 知悉 ,能 为 权利 人 带 来 经 济 利益 ,具有 实用 性 并 已 被 
权利 人 采取 保密 措施 的 技术 或 经 营 信息 。 一 些 企业 为 了 经 营 管理 方便 ,将 一 些 商 业 机 密 
信息 存储 于 计算 机 系统 中 。 黑 客 通过 网 络 攻 击 侵入 这 些 计算 机 系统 ,获得 商业 机 密 信息 
的 行为 时 有 发 生 , 黑 客 可 以 将 获取 到 的 机 密 信息 出 售 ,或 者 向 企业 进行 剖 诈 等 。 


5. 对 信息 系统 的 单纯 性 攻击 行为 


单纯 性 攻击 行为 可 造成 信息 系统 无 法 访问 ,或 访问 速度 很 慢 。 例 如 ,2010 年 初 ,黑客 
攻破 解析 百度 域名 的 域名 服务 器 ,替换 了 百度 的 域名 解析 记录 ,使 用 户 无 法 访问 百度 网 
站 。 此 次 攻击 持续 时 间 长 达 数 小 时 ,造成 的 损失 无 法 估量 。 

能 造成 “ 阻 断 用 户 访问 ”效果 的 攻击 手段 ,除了 “域名 支持 ”之 外 ,更 普遍 的 手段 是 分 
布 式 拒绝 服务 攻击 (DDoS)。 黑 客 利 用 木马 程序 控制 成 千 上 万 台 计算 机 ,同时 向 攻击 目 
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标 发 起 连接 请 求 ,这些 请 求 在 瞬间 超过 了 服务 器 能 够 处 理 的 极限 ,导致 其 他 用 户 无 法 访 
问 这 些 网 站 。 如 2007 年 ,知名 网 站 鞠 牛 士 遭 受 DDoS 攻击 ,该 攻击 持续 16 个 小 时 ,造成 
网 站 不 能 被 正常 访问 。 
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网 络 安全 从 其 本 质 上 来 说 就 是 网 络 上 的 信息 安全 。 信 息 系统 是 通过 计算 机 和 网 络 
实现 的 ,需要 利用 Internet 的 各 种 基础 设施 和 标准 ,因此 构成 信息 安全 系统 结构 的 底层 
是 计算 机 网 络 服务 层 。 网 络 服务 层 是 各 种 网 络 应 用 系统 的 基础 , 它 能 提供 信息 传输 功 
能 、 用 户 接 入 方式 和 安全 通信 服务 ,并 保证 网 络 运行 安全 。 

所 谓 网 络 信 息 安全 是 指 保障 承载 信息 系统 的 计算 机 设备 、 系 统 软 件 平台 和 网 络 环境 
能 够 无 故障 运行 ,并 且 不 受 外 部 入 侵 和 破坏 。 

一 般 来 说 ,网 络 信息 安全 主要 包括 系统 实体 安全 .系统 运行 安全 和 系统 软件 安全 ,如 
图 1. 1 所 示 。 其 特点 是 针对 计算 机 网 络 本 身 可 能 存在 的 安全 问题 ,实施 强大 的 网 络 安全 
监控 方案 ,以 保证 计算 机 网 络 自身 的 安全 性 。 
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图 1.1 网 络 信息 安全 的 组 成 要 素 


1. 系统 实体 安全 


所 谓 系统 实体 安全 (又 称 物理 安全 ) ,是 指 保护 计算 机 设备 .设施 ( 含 网 络 ) 以 及 其 他 
媒体 免 遭 自然 灾害 、 人 为 破坏 和 环境 威胁 的 措施 或 过 程 。 实 体 安全 是 整个 信息 系统 安全 
的 前 提 , 它 是 由 环境 安全 ,设备 安全 和 媒体 安全 3 部 分 组 成 。 

(1) 环境 安全 : 是 指 保护 信息 系统 免 受 水 、 火 有 害 气体 、 地 震 . 和 雷击、 高温、 潮湿 和 静 
电 等 灾害 的 危害 。 这 要 求 在 建设 机 房 和 架设 线路 时 全 面 考虑 有 可 能 对 系统 造成 破坏 的 
各 种 因素 ,并 设计 可 行 的 防范 措施 。 
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(2) 设备 安全 : 是 指 对 信息 系统 的 设备 进行 安全 保护 ,主要 包括 设备 防盗 .设备 防 
毁 、 抗 电磁 干扰 、 电 源 保护 、 防 电磁 信息 泄露 及 防止 线路 截获 等 方面 。 设 备 防盗 可 通过 加 
强 门禁 管理 ,安装 监控 报警 装置 实现 ;设备 防 毁 包括 防止 设备 跌落 、 防 止 鼠 害 和 防止 人 为 
破坏 等 ;电源 保护 一 般 通 过 加 装 不 间断 电源 (UPS) 实 现 。 

(3) 媒体 安全 : 是 指 对 被 存储 信息 和 媒体 本 身 的 保护 ,控制 敏感 信息 的 记录 、 青 生 和 
销毁 的 过 程 。 如 防止 保存 有 重要 信息 的 光盘 或 磁带 发 霉 、 损 坏 或 被 盗 ; 防 止 重要 数据 被 
非法 复制 ;对 不 再 需要 的 媒体 数据 要 进行 销毁 ,防止 媒体 数据 删除 或 丢弃 后 被 他 人 恢复 
而 泄露 机 密 信息 。 


2. 系统 运行 安全 


运行 安全 是 指 为 了 保障 系统 功能 的 安全 实现 ,提供 一 套 安全 措施 来 保护 信息 处 理 过 
程 的 安全 。 信 息 系统 的 运行 安全 具体 由 4 方面 组 成 。 

(1) 风险 分 析 : 旨 在 发 现 系统 潜在 的 安全 隐患 ,并 在 系统 运行 过 程 中 测试 .跟踪 并 记 
录 其 活动 ,发现 系 统 运行 期 间 的 安全 漏洞 :最 后 在 系统 运行 后 进行 分 析 , 提 供 相应 的 系统 
脆弱 性 分 析 报 告 。 

(2) 审计 跟踪 : 对 系统 进行 人 工 或 自动 的 审计 跟踪 ,保存 审计 记录 和 维护 详尽 的 审 
计 日 志 。 

(3) 备份 与 恢复 : 提供 对 系统 设备 和 系统 数据 的 备份 与 恢复 。 

(4) 应 急 响 应 : 是 指 在 紧急 事件 或 安全 事故 发 生 时 ,保证 信息 系统 继续 运行 
恢复 所 需要 的 策略 。 


3. 系统 软件 安全 


与 硬件 安全 相 比 ,信息 系统 的 软件 安全 显得 更 为 重要 ,因为 信息 系统 面临 的 主要 威 
胁 是 来 自 网 上 的 黑客 针对 系统 软件 进行 的 攻击 。 

(1) 操作 系统 安全 : 通过 建立 用 户 授 权 访 问 机 制 、 审 计 等 措施 ,控制 系统 资源 的 访问 
权限 ,保障 操作 系统 及 其 管理 的 资源 能 够 得 到 保护 。 如 果 计 算 机 系统 可 供 许多 人 使 用 ， 
操作 系统 必须 能 区 分 用 户 , 以 防 相互 干 扰 。 安 全 性 较 高 的 操作 系统 应 给 每 一 位 用 户 分 配 
独立 的 账户 ,并 不 允许 一 个 用 户 获得 由 另 一 个 用 户 产生 的 数据 。 

(2) 数据 库 安 全 : 由 于 信息 系统 中 的 资料 都 保存 在 数据 库 中 ,因此 数据 库 是 系统 中 
非常 重要 又 容易 遭受 攻击 的 部 分 。 数 据 库 系统 安全 是 指 对 数据 库 系统 所 管理 的 数据 和 
资源 提供 安全 保护 ,一般 采用 多 种 安全 机 制 与 操作 系统 安全 相 结合 来 保护 数据 库 安 全 。 
这 可 从 以 下 两 方面 着 手 。 

@ 安全 数据 库 系统 : 是 指 从 系统 设计 实现、 使 用 和 管理 的 各 个 阶段 都 遵循 一 套 完 
整 的 系统 安全 策略 的 安全 数据 库 系统 。 

@ 数据 库 系统 安全 部 件 : 是 指 以 现 有 数据 库 系 统 所 提供 的 功能 为 基础 构建 安全 模 
块 ,以 增强 安全 性 。 

此 外 ,病毒 防护 ,访问 控制 ,网络 传输 安全 (如 加 密 ) 也 是 系统 软件 安全 的 重要 组 成 。 
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12 信 齐 安全 的 基本 需求 


信息 主要 是 通过 Internet 进行 传输 的 ,因此 Internet 所 面临 的 安全 威胁 也 同样 是 信 
息 安 全 所 面临 的 威胁 。 
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在 Internet 发 展 的 初期 ,其 各 种 协议 的 设计 都 是 以 连通 和 数据 传输 为 目的 的 ,安全 
性 并 没有 放 在 重要 的 位 置 来 考虑 。 资 源 共享 .快速 、 便 捷 是 Internet 迅速 发 展 的 原因 ,而 
这 种 开放 性 决定 了 基于 Internet 的 网 络 信息 系统 在 安全 方面 存在 先天 不 足 。 

例如 ,在 Internet 上 的 信息 是 以 数据 包 的 形式 传送 的 ,这 些 数据 包 好 比 是 一 封 封 的 
平 信 , 它 们 按照 目的 地 址 寄 往 某 个 地 方 ,如 果 不 知 道 目 的 地 址 具体 对 应 哪 台 主 机 ,就 只 发 
送 到 其 所 在 的 局 域 网 ,再 由 局 域 网 将 该 数据 包 广 播发 送 (通常 采用 以 太 网 或 令 牌 网 技术 
的 局 域 网 都 是 广播 式 的 局 域 网 ) ,这 样 局 域 网 中 的 所 有 主机 都 能 收 到 这 个 数据 包 。 在 一 
般 情况 下 ,如 果 其 他 主机 发 现 这 个 数据 包 不 是 发 送 给 它 的 ,就 会 拒绝 接收 ,但 是 对 于 别 有 
用 心 的 人 来 说 ,他 可 能 会 设置 他 的 主机 能 接收 所 有 的 数据 包 , 无 论 是 不 是 发 给 他 的 ,并 查 
看 这 些 数 据 包 中 的 内 容 , 甚 至 对 其 中 的 内 容 进 行 自 改 再 转发 出 去 。 

如 果 把 Internet 系统 的 运转 看 成 是 一 种 信息 的 流动 , 则 在 正常 情况 下 ,信息 是 从 信 
息 源流 向 信息 目的 ,这 种 正常 的 信息 流动 应 该 如 图 1. 2(a) 所 示 。 而 攻击 者 可 以 破坏 这 种 
正常 的 信息 流动 ,攻击 者 对 网 络 系统 的 威胁 可 归纳 为 四 种 类 型 : 中 断 、 截 获 、 算 改 和 伪造 ， 
如 图 1.2(b) 一 (e) 所 示 。 
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图 1.2 网 络 信息 传输 面临 的 安全 威胁 类 型 


1. 中 断 (interruption) 


中 断 是 指 发 送 方 无 法 发 送信 息 ,或 者 发 送 的 信息 无 法 到 达 接 收 方 。 例 如 攻击 者 对 发 
送 方 进行 拒绝 服务 攻击 ,或 者 切断 其 线路 连接 ,使 其 无 法 提供 服务 ,破坏 其 可 用 性 。 
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2. 截获 (interception) 


截获 是 指 攻击 者 从 网 络 上 窃听 他 人 的 通信 和 内容, 破坏 信息 的 机 密 性 ,是 一 种 被 动 
攻击 。 


3. 算 改 (modification) 

算 改 是 指 攻 击 者 故意 算 改 线路 上 传输 的 报 文 ,破坏 消息 的 完整 性 。 

4. 伪造 (fabrication) 

伪造 是 指 攻击 者 伪造 信息 在 网 络 上 传送 ,这 是 对 报 文 真实 性 或 身份 认证 机 制 的 攻 
击 。 伪 造 分 为 两 种 情况 ,一 是 伪造 消息 (如 伪造 电子 邮件 ,骗取 用 户 汇款 或 骗取 用 户 输入 
账号 、 密 码 到 伪造 者 的 网 站 等 )。 二 是 伪造 身份 ,如 发 送 一 条 消息 声称 自己 是 某 人 ,由 此 
可 见 ,伪造 身份 是 通过 伪造 认证 消息 实现 的 。 


除了 上 述 4 种 信息 传输 面临 的 安全 威胁 外 ,电子 商务 活动 还 会 面临 另 一 种 安全 威 
胁 一 一 抵赖 。 


5. 抵赖 (repudiation) 


当 交 易 的 一 方 发 现 交易 行为 对 自己 不 利 时 ,或 当 利 益 刺 激 到 一 定 程度 时 ,就 有 可 能 
否认 交易 行为 ,这 称 为 抵赖 或 否认 。 交 易 抵 赖 包 括 发 送 方 的 抵赖 和 接收 方 的 抵赖 两 种 情 
况 , 如 发 送 方 发 了 某 个 订货 请 求 后 声称 自己 没 发 过 ,或 接收 方 收 到 某 个 订货 请 求 后 声称 
自己 没收 到 。 


122 信息 安全 要 素 


为 了 防御 1. 2. 1 节 中 信息 系统 面临 的 各 种 安全 威胁 ,一 个 安全 的 信息 系统 应 该 实现 
的 安全 要 素 ( 参 见 表 1.1) 有 以 下 几 点 。 


表 1.1 信息 安全 的 要 素 


要 素 含义 
机 密 性 信息 不 被 泄露 给 非 授权 用 户 
完整 性 信息 是 未 被 自 改 、 重 放 的 
真实 性 确保 对 方 的 身份 是 真实 的 和 信息 的 来 源 是 真实 的 
可 用 性 访问 者 需要 的 时 候 , 系 统 或 资源 是 可 以 提供 服务 的 
不 可 抵赖 性 信息 的 收发 双方 不 能 否认 曾经 收发 过 信息 
访问 控制 对 访问 者 访问 资源 时 的 权限 控制 
匿名 性 确保 合法 用 户 的 隐私 不 被 侵犯 
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1. 机 密 性 


在 信息 系统 中 ,交易 中 产生 ,传递 的 信息 可 能 涉及 商业 机 密 或 个 人 隐私 ,因此 这 些 信 
息 均 有 保密 的 要 求 。 这 种 信息 的 安全 需求 称 为 机 密 性 需求 。 机 密 性 要 求 做 到 只 有 发 送 
方 和 接收 方才 能 访问 消息 内 容 , 而 不 允许 非 授 权 人 员 访 问 消息 内 容 。 机 密 性 一 般 是 通过 
密码 技术 对 传输 的 信息 进行 加 密 来 实现 的 。 在 1. 2. 1 节 中 的 “截获 ”就 是 对 机 密 性 的 
攻击 。 

以 下 是 攻击 机 密 性 的 一 个 例子 : CDNow 是 美国 一 家 网 上 销售 音像 制品 的 电子 商务 
企业 ,2000 年 ,俄罗斯 一 名 黑客 从 该 公司 网 站 上 窃取 了 30 万 条 信用 卡 记录 ,并 向 其 敲诈 
10 万 美元 。 遭 到 CDNow 公司 拒绝 后 ,黑客 开始 逐条 公布 所 有 信用 卡 的 内 容 。 导 致 
CDNow 公司 不 得 不 要 求 银行 更 换 所 有 被 公布 的 信用 卡 ,所 承担 的 更 换 信 用 卡 的 损失 就 
达 数 百 万 美元 ,而 这 些 机 密 信息 被 窃取 给 公司 带 来 的 信誉 损失 和 间接 经 济 损失 更 是 无 法 
估量 的 。 


2. 完整 性 


完整 性 是 指 保证 只 有 被 授权 的 各 方 能 够 修改 计算 机 中 存储 的 或 网 络 上 传输 的 信息 ， 
修改 包括 对 信息 的 写 ,改变 状态 .时 延 或 重 放 。 信 息 系 统 应 防止 对 敏感 信息 未 授权 的 生 
成 .修改 和 删除 ,同时 防止 敏感 信息 在 传输 过 程 中 的 丢失 或 重复 ,并 保证 信息 传递 次 序 的 
统一 : 

如 果 消 息 内 容 在 发 送 方 发 出 之 后 ,尚未 到 达 接 收 方 时 就 发 生 了 改变 ,就 表明 消息 失 
去 了 完整 性 。 失 去 完整 性 可 分 为 两 种 情况 。 第 一 种 情况 是 : 假设 A 发 出 的 消息 内 容 是 
“将 100 元 转 给 D”, 而 B( 银 行 方 ) 收 到 的 消息 却 变 成 了 “将 1000 元 转 给 C”, 则 表明 该 消 
息 已 经 失去 了 完整 性 ,这 种 情况 通常 是 消息 被 第 三 方 故意 算 改 了 。 第 二 种 情况 可 能 是 数 
据 传 输 线路 不 可 靠 , 使 数据 在 传输 过 程 中 发 生 了 不 可 预知 的 改变 ,但 这 种 改变 一 般 是 可 
以 察觉 到 的 。 

提示 : 凡是 接收 方 收 到 的 消息 和 发 送 方 发 出 的 消息 不 一 致 ,就 可 认为 消息 的 完整 性 
已 遭 到 了 破坏 。 反 之 则 不 一 定 成 立 , 例 如 消息 被 重 放 , 虽 然 接收 方 收 到 的 消息 和 发 送 方 
发 出 的 消息 相同 ,但 消息 的 完整 性 也 已 经 被 破坏 了 。 


3. 真实 性 (认证 机 制 ) 


真实 性 是 指 确保 对 方 的 身份 是 真实 的 或 信息 的 来 源 是 真实 的 。 在 电子 商务 中 ,由 于 
交易 双方 无 法 见面 ,经 常会 发 生 攻 击 者 伪造 网 站 ,伪造 电子 邮件 地 址 ,给 用 户 发 送 假 冒 的 
支付 请 求 等 行为 。 例 如 用 户 C 冒充 用 户 A 发 一 个 转账 请 求 给 银行 B, 请 求 银行 将 资金 从 
A 账户 转 到 C 账户 。 银 行将 资金 从 A 账户 转账 到 了 C 账户 ,以 为 这 是 用 户 A 要 求 的 ,这 
就 是 针对 真实 性 的 攻击 。 为 了 防止 这 类 攻击 ,必须 认证 对 方 身 份 的 真实 性 或 鉴别 接收 到 
的 消息 来 源 的 真实 性 。 

真实 性 需要 可 靠 的 认证 机 制 来 保障 。 认 证 包括 两 个 方面 : 对 消息 本 身 的 认证 和 对 实 
体 的 认证 。 对 消息 本 身 的 认证 用 于 确认 消息 是 否 来 自 他 所 声称 的 某 个 实体 ,而 不 是 由 其 
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Hass sin 


他 人 伪造 的 。 对 实体 的 认证 可 以 确定 通信 双方 的 真实 身份 。 

2005 年 ,黑客 仿造 中 国 工商 银行 、 中 国 银行 等 金融 机 构 的 网 页 ,采用 诱骗 用 户 输入 账 
号 和 密码 信息 的 方式 来 盗 取 账 号 信息 ,并 从 中 获取 利益 。 这 种 欺骗 性 的 网 站 被 人 们 形象 
地 称 为 “钓鱼 网 站 ”。 它 是 针对 真实 性 进行 的 攻击 。 

提示 : 消息 的 完整 性 与 消息 的 真实 性 是 有 区 别 的 。 打 个 比方 ,如 果 将 一 束 玫 瑰 花 看 
作 一 条 消息 ,那么 发 送 者 寄 出 一 束 完好 的 玫瑰 花 后 ,而 接收 方 收 到 的 是 一 束 凋 谢 的 玫瑰 
花 , 或 收 到 的 是 半 束 玫瑰 花 , 这 都 是 消息 的 完整 性 遭 到 破坏 ,但 真实 性 并 未 被 破坏 。 而 如 
果 接 收 方 收 到 的 是 一 束 百 合 花 ,那么 就 是 消息 的 真实 性 遭 到 破坏 (当然 完整 性 也 已 被 
破坏 )。 


4. 不 可 抵赖 性 (不 可 否认 性 ) 


有 时 发 送 方 发 出 某 个 消息 后 ,又 想 否 认 发 过 这 个 消息 ;或 者 接收 方 收 到 消息 , 却 否 认 
已 收 到 信息 。 例 如 用 户 A 通过 Internet 向 商家 要 求购 买 某 种 商品 ,商家 按 A 的 请 求 发 货 
之 后 ,A 声称 没有 发 过 这 个 购买 请 求 ,拒绝 向 商家 支付 。 不 可 抵赖 性 (non-repudiation) 可 
防止 这 类 抵赖 现象 。 

电子 商务 系统 应 有 效 防止 商业 欺诈 行为 的 发 生 , 保 证 商业 信用 和 行为 的 不 可 否认 
性 ,保证 交易 双方 对 已 做 交易 无 法 抵赖 。 即 交易 一 旦 达成 ,发 送 方 不 能 否认 发 送 的 消息 ， 
接收 方 也 不 能 算 改 他 所 收 到 的 消息 。 

由 于 抵赖 通常 是 发 生 在 交易 双方 之 间 的 行为 ,因此 有 文献 认为 ,不 可 抵赖 性 是 电子 
商务 安全 比 网 络 安全 多 出 来 的 一 种 安全 需求 。 


5. 可 用 性 


可 用 性 是 指 保证 信息 和 信息 系统 能 随时 为 授权 者 提供 服务 ,而 不 会 出 现 由 于 非 授权 
者 干扰 而 对 授权 者 拒绝 服务 的 情况 发 生 。 例 如 ,由 于 某 个 非法 用 户 C 的 故意 操作 ,使 授 
权 方 A 无 法 与 服务 器 计算 机 B 联系 ,从 而 破坏 了 可 用 性 原则 。 

在 电子 商务 活动 中 ,消费 者 准备 在 网 站 上 购买 商品 ,需要 了 解 商品 价格 性能、 质量 
等 信息 ,决定 购买 后 ,要 提交 订购 信息 ,提供 与 支付 相关 的 信息 ,这 些 环 节 都 要 求 信息 系 
统 能 够 随时 提供 稳定 的 信息 服务 ,这 就 是 对 信息 系统 可 用 性 的 要 求 。 

在 我 国 ,对 于 淘宝 、 苏 宁 这 类 大 型 电子 商务 网 站 ,如 果 受 到 攻击 或 发 生 故 障 而 停止 服 
务 哪怕 几 分 钟 , 就 都 有 上 千 万 次 的 交易 无 法 进行 ,这 将 给 网 站 带 来 巨大 的 经 济 损失 。 

信息 除了 以 上 5 种 最 主要 的 安全 需求 外 ,还 有 访问 控制 .匿名 性 .即时 性 等 安全 要 
素 。 其 中 即时 性 是 指 服务 可 被 授权 实体 访问 并 在 规定 的 时 间 内 完成 服务 的 特性 。 


6. 访问 控制 (可 控 性 ) 


访问 控制 又 称 访问 权限 控制 ,是 一 种 比较 常见 的 安全 机 制 ,这 种 机 制 按 照 事 先 设 定 
的 规则 确定 主体 对 客体 的 访问 模式 是 否 合法 。 例 如 ,系统 可 以 设置 普通 用 户 对 其 中 的 信 
息 只 有 读 取 的 权限 ,而 设置 某 个 高 级 用 户 对 信息 具有 读 取 、 修 改 的 权限 。 访 问 控 制 只 是 
一 种 手段 ,其 目的 还 是 为 了 保障 系统 中 信息 的 机 密 性 、 完 整 性 、 真 实 性 和 可 用 性 等 安全 


7. 匿名 性 


电子 商务 系统 应 确保 交易 的 匿名 性 ,防止 交易 过 程 被 跟踪 ,保证 交易 过 程 中 不 把 用 
户 的 个 人 信息 泄露 给 未 知 的 或 不 可 信 的 个 体 ,确保 合法 用 户 的 隐私 不 被 侵犯 。 


123 信息 安全 的 特点 
信息 安全 具有 系统 性 、 相 对 性 有 代价 性 和 动态 性 这 4 个 特点 。 
1. 系统 性 


系统 性 包含 两 层 含义 : 其 一 ,信息 安全 的 解决 方案 需要 各 种 安全 产品 ,技术 手段 . 管 
理 措施 有 机 地 结合 起 来 ,而 不 能 通过 几 项 离散 的 安全 产品 或 技术 手段 来 解决 安全 问题 ; 
其 二 ,信息 安全 不 仅 是 一 个 技术 性 的 问题 ,同时 也 是 管理 问题 ,而 且 它 还 与 社会 道德 ,法 
律 法 规 ,行业 管理 以 及 人 们 的 行为 模式 等 紧密 联系 在 一 起 ,需要 综合 考虑 各 方面 的 因素 
来 解决 。 


2. 相对 性 


任何 安全 都 是 相对 的 ,没有 绝对 的 安全 。 同 样 ,对 于 信息 安全 来 说 ,不 能 也 不 必 追 求 
一 个 永远 攻 不 破 的 系统 ,安全 与 管理 是 联系 在 一 起 的 。 希望 网 站 永远 不 受 攻击 ,不 出 任 
何 安全 问题 是 不 可 能 的 。 


3. 有 代价 性 


任何 信息 系统 都 应 考虑 到 安全 的 代价 和 成 本 问题 。 如 果 只 注重 速度 和 便捷 性 ,就 必 
定 要 以 牺牲 安全 来 作为 代价 ;如 果 一 味 只 注重 安全 ,便捷 性 就 会 大 打折 扣 。 例 如 ,如 果 不 
牵涉 到 支付 问题 ,对 安全 的 要 求 就 可 以 低 一 些 ; 如 果 牵 涉 到 支付 问题 ,对 安全 的 要 求 就 要 
高 一 些 , 所 以 安全 是 有 成 本 和 代价 的 。 作 为 一 个 管理 者 ,应 该 权衡 这 两 方面 因素 ;作为 安 
全 技术 的 提供 者 ,在 研发 技术 时 也 要 考虑 到 这 些 因 素 。 


4. 动态 性 


因为 网 络 技术 的 攻防 是 此 消 彼 长 。 尤 其 是 安全 技术 , 它 的 敏感 性 、 竞 争 性 和 对 抗 性 
都 是 很 强 的 ,这 就 需要 不 断 检查 、 评 估 和 调整 相应 的 安全 策略 。 没 有 一 劳 永 逸 的 安全 ,也 
没有 一 跃 而 就 的 安全 。 


13 信和 谍 灾 全 体系 结构 


信息 安全 体系 结构 是 指 通 过 制订 安全 策略 ,并 在 安全 策略 的 指导 下 构建 一 个 完整 的 
综合 保障 体系 来 规避 信息 系统 运行 中 的 信息 传输 风险 、 信 用 风险 ,管理 风险 和 法 律 风险 ， 
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以 保证 网 络 服务 的 顺利 进行 ,满足 开展 信息 系统 服务 所 需 的 机 密 性 、 完 整 性 、 真 实 性、 可 
用 性 、 可 控 性 .不 可 否认 性 和 合法 性 等 安全 需求 。 

要 确保 信息 系统 的 安全 ,除了 采取 各 种 技术 手段 外 ,还 必须 加 强 对 有 关 人 员 的 安全 
意识 和 安全 技术 培训 ,建立 完善 的 信息 安全 法 律 法 规 ,严格 按照 各 种 管理 制度 和 法 律 法 
规 来 运作 信息 系统 。 


131 安全 体系 结构 层次 模型 


信息 系统 是 建立 在 网 络 技术 基础 上 的 ,因此 信息 系统 的 安全 架构 必然 包括 网 络 安全 
基础 设施 。 但 信息 系统 又 不 是 孤立 地 依赖 于 网 络 技 术 , 在 信息 系统 的 运行 过 程 中 ,还 需 
要 社会 环境 ,管理 环境 和 法 律 环境 提供 相应 的 保障 。 因 此 ,信息 系统 安全 是 一 个 涵盖 技 
术 因 素 ,管理 因素 等 在 内 的 综合 体系 结构 。 

一 个 完整 的 信息 安全 体系 应 由 安全 基础 设施 层 、 网 络 安全 服务 层 、 加 密 技术 层 、 安 全 
认证 层 、 安 全 协议 层 (可 能 还 包括 交易 协议 )、 应 用 系统 层 及 安全 管理 7 个 部 分 组 成 。 
图 1.3 显 示 了 信息 安全 的 体系 结构 。 这 些 层次 中 ,上 层 以 下 层 为 基础 ,下 层 为 上 层 提供 技 
术 支 持 , 各 层 相互 关联 ,构成 一 个 统一 的 整体 。 


应 用 系统 层 
支付 型 业务 系统 、 非 支付 型 业务 系统 


安全 协议 层 ， 交 易 协议 层 


SET 协议 、SSL 协 议 、3-D Secure 协 议 、 电 子 支付 协议 …… 电 
| 
安全 认证 层 安 | 一 NN 商 

认证 协议 、CA 认 证 (数字 证 书 ) 、 数 字 签 名 …… 多 || 一 | 务 

| 管 安 

全 

加 密 拷 术 层 和 


对 称 加 密 技术 (DES 和 AES)、 公 钥 加 密 技术 (RSA 和 ECC 等 )、 
单 向 散 列 函数 (MD5 和 SHA -1 等 ) 


全 


网 络 安全 服务 层 安全 基础 设施 层 

防火 墙 、 线 路 加 密 、 漏 洞 软件 安全 (操作 系统 安全 、 

扫描 、VPN、 入 侵 检测 、 数据 库 系统 安全 、 反 病 

安全 审计 …… 毒 ) 、 硬 件 安全 ( 防 毁坏 、 
防 电磁 干扰 ) 


图 1.3 信息 安全 的 体系 结构 


132 信息 安全 技术 


为 了 保障 信息 安全 的 基本 需求 ,人 们 采用 了 很 多 种 技术 ,这 些 技术 主要 可 分 为 密码 
学 技术 、 网 络 安全 技术 等 ,包括 加 密 技术 、 认 证 技术 、 公 钥 基 础 设施 、 访 问 控制 .网 络 安全 


技术 、 网 络 安全 协议 等 。 
1. 加 密 技 术 


加 密 技 术 是 信息 安全 采取 的 最 基本 安全 措施 ,也 是 其 他 很 多 安全 技术 的 实现 基础 。 
加 密 技术 分 为 对 称 加 密 技术 和 公 钥 加 密 技 术 。 

1) 对 称 加 密 技术 

利用 对 称 加 密 技术 可 对 通信 的 双方 传输 的 数据 进行 加 密 , 这 样 ,如 果 信 息 不 幸 被 攻 
击 者 截获 ,只 要 攻击 者 没有 获取 密 钥 ,攻击 者 就 无 法 解读 ,也 无 法 修改 加 密 之 前 明文 的 内 
容 , 对 信息 的 机 密 性 和 完整 性 可 提供 一 定 的 保证 。 

2) 公 钥 加 密 技 术 

利用 公 钥 加 密 技 术 , 可 解决 对 称 密码 体制 遇 到 的 很 多 难题 , 公 钥 加 密 技术 常用 来 完 
成 对 称 密 钥 的 分 发 和 数字 签名 这 些 特殊 的 功能 。 


2. 认证 技术 


在 网 上 交易 过 程 中 ,由 于 交易 双方 不 能 见面 ,为 了 保证 不 被 欺骗 ,需要 保证 交易 双方 
的 身份 信息 和 交易 信息 都 是 真实 的 。 认 证 技术 就 是 用 来 认证 对 方 的 身份 是 真实 的 或 收 
到 的 信息 是 真实 的 而 没有 被 伪造 或 算 改 过 ,为 信息 安全 的 真实 性 需求 提供 保障 。 认 证 分 
为 消息 认证 和 身份 认证 。 

认证 系统 有 两 种 认证 模式 : 

(1) 当事人 自由 约定 的 认证 体系 : 当事人 可 以 约定 好 采取 何 种 认证 方式 ,对 对 方 的 
身份 进行 认证 。 不 需要 第 三 方 的 参与 。 

(2) 依赖 可 信 第 三 方 的 认证 体系 : 由 可 信 第 三 方 提供 通信 各 方 的 身份 证 明 , 被 认证 
方 将 可 信 第 三 方 提供 的 身份 证 明 ( 如 数字 证 书 ) 提 交 给 认证 方 进行 认证 。 


3, 公 钥 基础 设施 


公 钥 基础 设施 (PKI) 提 供 了 一 个 框架 ,在 这 一 框架 下 能 实施 各 种 安全 服务 ,是 目前 比 
较 成 熟 和 完善 的 信息 安全 解决 方案 。PKI 的 核心 功能 是 提供 认证 服务 ,包括 数字 签名 、 
身份 认证 、 时 间 鹤 和 不 可 否认 服务 等 。 


4. 访问 控制 


访问 控制 是 建立 在 身份 认证 基础 之 上 的 安全 服务 , 它 的 目的 是 控制 和 管理 合法 用 户 
访问 资源 的 范围 和 访问 方式 ,防止 合法 用 户 对 资源 的 误 用 和 滥用 ,因而 能 保证 资源 受 控 
地 、 合 理 地 使 用 。 访 问 控制 不 仅 保护 了 客体 的 安全 ,维护 了 资源 所 有 者 的 利益 ,更 重要 的 
是 建立 了 良好 的 访问 秩序 。 


5. 网 络 安全 技术 


网 络 安全 是 一 个 复杂 的 系统 工程 ,需要 从 系统 的 观点 出 发 ,从 多 个 环节 综合 运用 一 
系列 网 络 安全 技术 和 措施 ,常见 的 网 络 安全 技术 有 防火 墙 技术 .和 人 侵 检测 技术 .虚拟 专用 
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全 ra 全 应 几 


网 技术 和 病毒 防护 技术 ,使 用 这 些 技术 可 以 在 一 定 程 度 上 保证 网 络 的 安全 。 
6. 网 络 安全 协议 


网 络 安全 协议 也 称 安全 密码 ,是 以 密码 学 为 基础 的 网 络 信息 交换 协议 。 网 络 安全 协 
议 由 买方 .卖方 .第 三 方 ( 如 银行 .认证 机 构 等 ) 及 它们 之 间 约 定 的 电子 交易 条 款 组 成 , 提 
供电 子 交易 所 需 的 安全 服务 ,如 身份 认证 、 交 易 信 息 加 密 及 散 列 运算 ,实现 电子 商务 安全 
的 机 密 性 、 完 整 性 和 不 可 否认 性 需要 。 


133 信息 安全 管理 架构 


从 宏观 上 看 ,信息 安全 以 安全 策略 为 核心 ,涉及 人 、 过 程 和 技术 3 种 因素 ,包括 保护 、 
检测 、 响 应 及 恢复 4 个 环节 ,如 图 1.4 所 示 。 


1. 安全 策略 

安全 策略 (security policy) 是 实施 信息 系 仿 复 
统 安全 措施 及 安全 管理 的 指导 思想 ,是 指 在 系 
统 内 用 于 所 有 与 安全 活动 相关 的 一 套 规则 ,这 5 
些 规则 由 系统 中 的 一 个 安全 权力 机 构建 立 ,并 


由 安全 控制 机 构 来 描述 .实施 和 实现 。 它 为 安 
全 管理 提供 管理 方向 和 支持 手段 。 
安全 策略 是 一 个 很 广 的 概念 , 它 有 以 下 几 


个 不 同 的 等 级 。 2 本 MA 直 术 
(1) 安全 策略 目标 : 是 某 个 机 构 对 保护 特 


定 资源 应 当 达 到 的 目的 所 进行 的 描述 。 图 1.4 信息 安全 的 管理 架构 

(2) 机 构 安全 策略 : 是 一 套 法 律 、 规 章 及 
实际 操作 方法 ,用 于 规范 某 个 机 构 如 何 管理 .保护 和 分 配 资源 ,以 达到 安全 策略 的 既定 
目标 。 

(3) 系统 安全 策略 : 是 对 某 个 系统 的 安全 如 何 实现 以 达到 此 机 构 的 安全 策略 要 求 。 


2. 安全 涉及 的 3 种 因素 


对 信息 安全 程度 起 决定 性 影响 的 3 种 因素 是 人 、 过 程 和 技术 。 

(1) 人 : 信息 安全 实施 的 主体 仍然 是 人 ,因此 人 的 因素 是 最 重要 的 。 人 作为 一 种 实 
体 在 信息 系统 的 运行 过 程 中 存在 ,其 必然 对 信息 系统 的 安全 产生 重要 影响 。 源 于 人 这 种 
因素 的 安全 问题 的 例子 是 : 对 企业 不 满 的 员工 对 信息 系统 的 恶意 破坏 ,员工 无 意 间 泄露 
系统 的 密码 。 可 以 通过 安全 培训 、 雇 员 的 严格 筛选 .严格 管理 措施 、 安 全 监察 来 降低 人 为 
因素 带 来 的 安全 隐患 。 

(2) 过 程 : 信息 系统 的 运行 包括 操作 过 程 和 交易 过 程 ,如 用 户 登 录 、 数 据 库 备 份 、 转 
账 操作 等 。 这 些 过 程 应 该 有 严格 的 制度 来 规范 各 种 操作 行为 ,从 制度 上 避免 各 种 不 规范 
的 行为 (如 误 操作 ,故意 不 按 规章 操作 ) 的 发 生 , 杜 绝 安 全 隐患 。 


(3) 技术 : 技术 因素 对 信息 系统 安全 的 影响 最 为 直接 ,不 恰当 的 系统 设计 .不 正确 的 
参数 配置 等 都 会 成 为 信息 系统 安全 最 直接 的 隐患 。 因 此 ,在 信息 系统 运行 中 ,必须 重视 
从 技术 上 保障 系统 的 安全 可 靠 。 

在 这 3 种 因素 中 ,人 和 过 程 的 因素 是 和 管理 相关 的 ,因此 ,这 3 种 因素 又 可 以 分 为 管 
理 和 技术 两 个 层面 。 对 于 安全 问题 ,人 们 常 说 “三 分 靠 技术 ,七 分 靠 管理 "。 因 此 ,在 日 常 
的 信息 系统 运转 过 程 中 , 既 要 重视 技术 的 因素 ,也 要 重视 人 和 过 程 的 因素 。 一 个 系统 的 
整体 安全 性 取决 于 它 最 薄弱 的 环节 ,系统 往往 是 在 最 薄弱 的 环节 被 攻破 ,这 就 是 所 谓 的 
木 桶 原理 。 因 此 我 们 在 安全 管理 中 ,一 定 不 要 放 过 任何 一 个 薄弱 的 环节 。 


3. 安全 防护 的 模型 


信息 安全 是 在 安全 策略 的 指导 下 ,由 保护 (Protect) ,检测 (Detect) 、 响 应 (React) 和 恢 
复 (Restore)4 个 环节 组 成 ,简称 为 PDRR。 这 4 个 部 分 构成 一 个 动态 的 信息 安全 周期 。 

(1) 保护 : 保护 就 是 采用 一 些 网 络 安全 工具 和 技术 保护 网 络 系统 .数据 和 用 户 。 这 
种 保护 可 称 为 静态 保护 , 它 通 常 是 一 些 基 本 的 防护 ,不 具有 实时 性 。 如 在 安全 策略 中 规 
定 禁 止 某 个 IP 的 用 户 访问 内 部 网 服务 器 ,那么 就 可 以 在 IIS 的 网 站 安全 中 加 入 一 条 这 样 
的 规则 , 它 就 会 持续 有 效 。 这 样 的 保护 可 以 预防 已 知 的 一 些 安 全 威胁 ,而 且 通常 这 些 威 
胁 不 会 发 生变 化 ,所 以 称 为 静态 保护 。 

(2) 检测 : 检测 是 指 实时 监控 系统 的 安全 状态 , 它 是 一 种 实时 保护 的 策略 ,主要 满足 
动态 安全 的 需求 。 因 为 网 络 上 的 攻击 行为 不 是 一 成 不 变 的 ,通过 检测 可 以 发 现 未 曾 预料 
到 的 或 新 的 攻击 ,制定 新 的 安全 策略 。 将 检测 与 保护 结合 起 来 ,才能 够 满足 动态 安全 保 
护 的 需要 。 

在 PDRR 模型 中 ,检测 的 重要 性 表现 在 : 

Qa 检测 是 静态 保护 转化 为 动态 的 关键 ; 

@ 检测 是 动态 响应 的 依据 ; 

@ 检测 是 落实 /强制 执行 安全 策略 的 有 力 工具 。 

(3) 响应 : 当 攻 击发 生 时 ,能 够 及 时 作出 响应 ,如 发 出 报警 ,或 者 自动 阻 断 连接 等 , 防 
止 攻击 进一步 发 生 , 将 安全 事件 的 影响 降 到 最 低 。 在 实际 中 ,即使 采用 各 种 设备 和 技术 
将 网 络 构筑 得 相当 安全 ,攻击 或 非法 入 侵 也 是 不 可 避免 的 ,所 以 当 攻击 发 生 时 ,应 该 有 一 
种 机 制 对 此 作出 反应 ,这样 还 可 以 让 管理 员 及 时 了 解 到 什么 时 候 网 络 遭 受 了 攻击 ,攻击 
的 行为 和 结果 怎样 ,应 采取 什么 样 的 措施 来 修补 安全 策略 ,防止 此 类 攻击 再 次 发 生 。 

(4) 恢复 : 当 入 侵 发 生 后 .对 系统 造成 了 一 定 的 损害 ,如 网 站 不 能 正常 工作 ,系统 数 
据 被 破坏 等 。 这 时 ,必须 有 一 套 机 制 来 尽快 恢复 系统 正常 工作 ,这 对 电子 商务 系统 的 运 
行 至 关 重 要 。 人 恢复 是 最 终 措 施 ,因为 既然 攻击 已 经 发 生 了 ,系统 也 遭 到 了 破坏 ,就 只 有 让 
系统 以 最 快 的 速度 恢复 运行 才 是 最 重要 的 ,否则 损失 将 更 加 严重 。 

保护 ,检测 ,响应 ,恢复 4 个 环节 不 是 孤立 的 ,而 是 相互 转换 的 ,如 图 1.5 所 示 。 构 建 
信息 安全 保障 体系 必须 从 安全 的 各 个 方面 进行 综合 考虑 ,只 有 将 技术 、 管 理 、 策 略 、 过 程 
等 方面 紧密 结合 ,安全 保障 体系 才能 真正 成 为 指导 安全 方案 设计 和 建设 的 有 力 依据 。 


异常 
状态 
检测 状态 正常 


紧急 响应 后 ， 调 整 
到 正常 状态 


1.5 信息 系统 安全 的 两 态 转换 模型 


响应 中 ， 正 在 
进行 状态 调整 


“134 我 国信 息 安 全 现状 分 析 


在 我 国 , 信 息 系统 的 安全 还 未 受到 足够 的 重视 ,信息 安全 管理 的 经 验 不 足 , 导 致 信息 
系统 遭受 攻击 的 概率 比较 大 。 据 调查 ,2010 年 中 国 大 陆 遇 到 过 病毒 或 木马 攻击 的 网 民 比 
例 为 45.8% ,有 过 账号 或 密码 被 次 经 历 的 网 民 占 21. 8%。 在 2010 年 CNNIC 对 域名 注 
册 信 息 专项 治理 行动 中 ,CNNIC 共 受 理 钓鱼 网 站 举报 23 455 个 ,处 理 钓鱼 网 站 22 573 
个 。 进 入 2011 年 以 来 ,网 购 木马 异常 活 牙 ,每 月 新 增 网 购 木 马 数量 已 经 接近 3000 个 。 
为 了 对 现 阶段 安全 有 清晰 的 认识 ,形成 一 种 关于 信息 安全 的 正确 观念 ,需要 研究 当前 
信息 安全 的 现状 。 这 对 于 提高 全 民 信 息 安 全 意识 ,增强 我 国信 息 安 全 水 平 都 有 重要 


1. 脆弱 的 互联 网 网 站 


信息 安全 本 是 互联 网 应 用 开发 的 基本 目标 之 一 ,然而 遗憾 的 是 ,几乎 所 有 的 网 站 在 
开始 建设 及 发 展 过 程 中 ,其 考虑 的 因素 都 趋向 于 网 站 的 便利 性 、 实 用 性 ,而 恰恰 忽略 了 最 
不 该 忽略 的 安全 性 。 这 实际 上 给 网 站 的 发 展 埋 下 了 深 深 的 隐患 ,就 像 一 颗 定 时 炸弹 , 随 
时 都 有 可 能 被 各 种 黑客 引爆 。 因 为 这 些 网 站 留 下 了 太 多 的 技术 ,管理 和 基础 设施 的 漏 
洞 ,给 黑客 太 多 的 可 乘 之 机 。 一 旦 出 现 安全 事故 ,就 会 使 网 站 的 用 户 对 网 站 不 再 信任 , 进 
而 转投 其 他 网 站 。 

尤其 值得 注意 的 是 , 随 着 “政府 上 网 ”“ 企 业 上 网 ”工程 的 实施 ,国内 一 大 批 网 站 应 运 
而 生 , 它 们 当中 有 很 大 一 部 分 根本 就 没有 一 套 完整 的 安全 体系 作为 保障 ,缺乏 安全 管理 、 
安全 维护 、 安 全 运行 的 机 制 , 也 没有 专门 的 网 络 安全 人 员 进 行 专业 管理 和 维护 。 对 于 这 
样 不 设防 的 网 站 , 稍 懂 黑 客 技术 的 不 法 分 子 就 能 进行 攻击 和 破坏 。 


2. 矛盾 的 安全 意识 


很 多 人 都 有 这 样 一 种 矛盾 的 安全 意识 ,就 是 如 果 花 费 大 量 的 人 力 和 物力 来 保障 一 个 
公司 的 网 络 安全 ,要 是 不 出 问题 ,似乎 这 些 投 入 的 人 力 和 物力 就 白白 浪费 了 。 要 是 还 出 
了 问题 , 岂 不 是 赔 了 夫人 又 折 兵 。 这 种 看 似 有 理 的 看 法 ,实际 上 是 忽略 了 网 络 安全 的 一 
个 重要 特性 , 即 网 络 安 全 是 一 种 以 “ 防 患 于 未 然 ” 为 目标 的 安全 防范 ,事实 上 所 有 的 网 络 


安全 措施 和 机 制 都 不 能 保证 绝对 的 安全 ,而 只 能 提高 安全 的 程度 ,降低 发 生 安全 事故 的 
概率 。 


3. 层出不穷 的 攻击 手段 


随 着 互联 网 的 发 展 , 联 网 的 范围 不 断 扩大 ,这 也 给 黑客 带 来 了 更 大 的 活动 空间 。“ 一 
切 的 方便 来 源 于 互联 ,但 一 切 的 麻烦 也 来 源 于 互联 。 随 着 网 络 技 术 的 发 展 、 网 络 带宽 的 
增加 以 及 软件 上 的 新 安全 漏洞 的 出 现 , 使 得 危害 网 络 安全 的 攻击 手段 不 断 推陈出新 ,而 
且 一 旦 攻击 成 功 , 被 侵害 者 的 损失 也 将 更 加 严重 。 


4. 我 国信 息 安全 问题 产生 的 原因 


可 见 , 我 国 网 络 信息 系统 面临 的 威胁 和 安全 问题 十 分 严重 ,形势 不 容 乐 观 ,要 确保 信 
息 系统 的 安全 还 任重道远 。 具 体 而 言 ,有 如 下 问题 需 重 点 关注 。 

1) 缺少 信息 安全 基础 设施 

信息 安全 基础 设施 为 信息 安全 提供 支撑 作用 ,为 整个 信息 系统 提供 服务 环境 ,为 实 
施 其 他 的 信息 安全 技术 提供 决策 支持 。 信 息 安全 基础 设施 要 具有 让 人 信任 的 品质 。 信 
息 安 全 基础 设施 主要 包括 构建 安全 的 网 络 基 础 设施 、 系 统 安全 基础 设施 和 交易 安全 基础 
设施 。 

2) 缺乏 自主 的 信息 安全 技术 

我 国信 息 安全 技术 也 比较 落后 。 信 息 安全 技术 主要 是 指 保 证 信息 系统 运行 中 的 资 
金 安全 和 交易 信息 安全 、 商 业 秘 密 保密 等 的 技术 ,这 些 技术 落后 不 利于 建立 我 国 消费 者 
可 以 信任 的 信息 环境 。 

在 信息 安全 技术 中 的 对 称 加 密 算法 、 公 钥 加 密 算法 和 以 此 为 基础 的 数字 签名 和 认证 
技术 ,提供 的 认证 服务 都 是 信息 安全 核心 ,我 国 至 今 还 没有 自主 研发 的 较为 成 熟 的 密码 
算法 。 很 多 密码 算法 存在 依赖 国外 的 现象 ,而 这 些 国 外 的 算法 或 软件 可 能 设置 了 后 门 ， 
对 国家 安全 不 利 。 

3) 信息 安全 体系 结构 不 完整 

在 我 国 ,信息 安全 过 去 大 都 不 重视 安全 保护 环节 , 当 出 现 安全 事故 时 才 担 当 着 “救火 
队 ” 的 角色 ,头痛 医 头 , 脚 痛 医 脚 。 这 种 “治标 不 治本 ”的 做 法 使 问题 总 是 层出不穷 。 近 年 
来 ,人 们 已 经 开始 着 手 从 体系 结构 上 来 解决 问题 ,力图 建立 一 个 完整 的 信息 安全 体系 ,应 
当 说 在 理论 上 已 取得 了 明显 进展 ,但 到 实际 运用 时 还 需要 更 大 的 努力 。 

4) 安全 管理 体制 不 健全 

目前 我 国 并 没有 一 个 完整 的 .具有 指导 意义 的 规范 性 法 律 法 规 来 限定 信息 中 的 不 安 
全 行为 ,而 且 也 未 形成 有 效 的 信息 安全 管理 责任 制 ,没有 根据 信息 的 发 展 制定 过 相应 的 
安全 策略 ,对 于 信息 过 程 中 的 各 种 安全 责任 也 没有 加 以 明确 。 从 信息 安全 标准 体系 的 建 
设 来 看 ,目前 我 国 的 安全 标准 和 协议 还 不 完整 。 没 有 制定 具有 安全 保护 意义 的 信息 产品 
采购 政策 ,没有 针对 信息 安全 制定 相应 的 应 急 管理 办 法 或 应 急事 件 处 理 政策 等 。 


18 
习 是 
1. 关于 信息 安全 ,下 列 说 法 中 错误 的 是 ( ), 
A. 信息 安全 包括 实体 安全 软件 安全 和 运行 安全 
B. 信息 安全 是 制约 电子 商务 发 展 的 重要 因素 
C. 电子 商务 安全 与 网 络 安全 的 区 别 在 于 其 有 不 可 否认 性 的 要 求 
D. 决定 信息 安全 级 别 的 最 重要 因素 是 技术 
2. 网 上 交易 中 ,如 果 订 单 在 传输 过 程 中 订货 数量 发 生 了 变化 , 则 破坏 了 安全 需求 中 
的 ( ER 
A. 可 用 性 B. 机 密 性 C. 完整 性 D. 不 可 抵赖 性 
3 区 ) 原 则 保证 只 有 发 送 方 和 接收 方才 能 访问 消息 内 容 。 
A. 机 密 性 B. 完整 性 C. 身份 认证 D. 访问 控制 
4. 信息 安全 涉及 的 3 种 因素 中 ,没有 ( Ns 
A. 人 B. 过 程 C. 设备 D. 技术 
5. 在 PDRR 模型 中 ,( ) 是 静态 防护 转化 为 动态 的 关键 ,是 动态 响应 的 依据 。 
A. 保护 B. 检测 C. 响应 D. 恢复 
6. 在 电子 商务 交易 中 ,消费 者 面临 的 威胁 不 包括 ( js 
A. 虚假 订单 B. 付款 后 不 能 收 到 商品 
C. 客户 资料 机 密 性 丧失 D. 非 授 权 访问 


全 ) 攻 击 与 保密 性 相关 ;( ) 攻 击 与 认证 相关 ;( ) 攻 击 与 完整 性 相关 ; 
) 攻 击 与 可 用 性 相关 。 


A. 自 改 B. 截获 C. 伪造 D. 中 断 
8. 如 果 信 息 系统 无 法 访问 了 , 则 破坏 了 信息 安全 的 需求 。 
9. 信息 安全 的 目标 是 保证 信息 的 真实 性 、 机 密 性 、 完 整 性 、 和 


10. 为 什么 说 人 是 信息 安全 中 最 重要 的 因素 ? 
11. 信息 安全 应 从 哪 几 个 方面 来 综合 考虑 ? 


密码 学 基础 


自从 人 类 文化 诞生 以 来 ,就 产生 了 保护 敏感 信息 的 愿望 ,密码 作为 一 种 技术 已 有 上 
千年 的 历史 ,战争 对 情报 保密 的 需要 促进 了 密码 技术 的 发 展 。 然 而 密码 学 正式 成 为 一 门 
学 科 还 是 近 几 十 年 的 事 ,在 计算 机 和 网 络 技术 迅速 发 展 的 时 代 , 密 码 学 的 应 用 从 以 军事 
需要 为 主 扩展 到 了 人 们 进行 一 般 通 信 的 需要 。 所 谓 密码 学 ,就 是 用 基于 数学 方法 的 程序 
和 保密 的 密 钥 对 信息 进行 编码 ,把 信息 变 成 一 段 杂 乱 无 章 难 以 理解 的 字符 串 , 也 就 是 把 
明文 转变 成 密 文 。 

在 Internet 环境 下 ,信息 的 传输 依赖 于 十 分 脆弱 的 公共 信道 ,信息 的 泄密 不 易 被 发 
现 , 但 造成 的 危害 可 能 是 巨大 的 ,尤其 是 对 于 电子 商务 活动 来 说 。 所 以 ,保护 信息 的 安全 
是 电子 商务 的 必然 要 求 。 而 密码 技术 为 保护 信息 安全 提供 了 行 之 有 效 的 手段 , 它 以 很 小 
的 代价 ,就 能 为 信息 提供 足够 的 安全 保护 。 利 用 计算 机 可 以 使 密码 算法 的 加 密 、 解 密 过 
程 变 得 简单 快捷 ,而 且 对 用 户 透 明 。 
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密码 学 主要 是 研究 如 何 对 通信 安全 进行 保密 的 学 科 , 它 包括 两 个 分 支 : 密码 编码 学 
和 密码 分 析 学 。 密 码 编码 学 主要 研究 对 信息 进行 变换 ,以 保护 信息 在 信道 的 传递 过 程 中 
不 被 敌手 窃取 、 解 读 和 利用 的 方法 , 即 如 何 加 密 的 过 程 ;密码 分 析 学 与 密码 编码 学 相反 ， 
它 主 要 研究 如 何 分 析 和 破译 密码 , 即 如 何 解 密 的 过 程 。 对 这 两 者 的 研究 既 相 互 对 立 又 相 
互 促进 。 


211 密码 学 的 基本 概念 
1. 密码 系统 
一 个 密码 系统 由 明文 空间 、 密 文 空间 、 密 码 方案 和 密 钥 空 间 组 成 。 
2. 明文 和 明文 空间 


未 经 过 加 密 的 原始 信息 称 为 明文 ,明文 是 知道 这 种 语言 的 任何 人 都 能 够 理解 的 信 
息 。 明 文 的 全 体 称 为 明文 空间 。 一 般 情况 下 ,明文 用 小 写 的 m(message, 消 息 ) 或 p(plain 
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text, 明 文 ) 表 示 ,明文 空间 用 大 写 的 M 或 已 表示 。 对 于 计算 机 来 说 ,明文 是 信 源 编码 符 
号 ,可 以 是 文本 文件 .位 图 ,数字 化 存储 的 语音 流 或 其 他 的 数字 视频 图 像 的 比特 流 。 可 以 
简单 地 认为 明文 是 有 意义 的 字符 流 或 比特 流 。 


3. 密 文 和 密 文 空间 


密 文 是 经 过 伪装 后 的 明文 。 全 体 可 能 出 现 的 密 文集 合 称 为 密 文 空间 。 一 般 情况 下 ， 
密 文 用 小 写 的 c(cipher ,密码 ) 表 示 , 密 文 空间 用 大 写 的 C 表示 。 密 文 也 可 以 被 认为 是 字 
符 流 或 比特 流 。 


4. 密码 方案 


密码 方案 确切 地 描述 了 加 密 变换 和 解密 变换 的 具体 规则 。 这 种 描述 一 般 包括 对 明 
文 进行 加 密 时 所 使 用 的 规则 的 描述 ( 称 为 加 密 算法 ), 以 及 对 密 文 进行 还 原 时 所 使 用 的 规 
则 ( 称 为 解密 算法 )。 通 过 加 密 算法 对 明文 实施 的 变换 过 程 称 为 加 密 变 换 , 简 称 为 加 密 
(encryption) ,加 密 可 记 为 一 个 函数 EE(m) ,这 里 mm 为 明文 。 解 密 算法 对 密 文 实施 的 变换 
过 程 称 为 解密 (decryption) , 记 为 D(c), 这 里 cc 指 密 文 。 


5. 密 钥 与 密 钥 空间 


加 密 和 解密 算法 的 操作 在 称 为 密 钥 的 元 素 控制 下 进行 。 密 钥 的 全 体 称 为 密 钥 空 间 。 
一 般 情况 下 , 密 钥 用 A(key, 密 钥 ) 表 示 , 密 钥 空间 用 大 写 的 K 表示 。 在 密码 方案 设计 中 ， 
各 密 钥 符号 一 般 是 独立 的 ,等 概率 出 现 的 ,也 就 是 说 , 密 钥 一 般 是 随机 序列 。 

一 个 密码 体系 又 可 描述 成 一 个 保密 通信 系统 ,如 图 2. 1 所 示 。 


加 密 密 钥 解密 密 钥 
明文 | 密 文 | 普通 信道 | 明文 
这 一 | 加 密 算法 -国光 OO 解密 算法 和 | 
7 | | 
1 1 
窃听 | | 干扰 


密码 分 析 者 


2.1 保密 通信 系统 的 基本 模型 


有 了 密 钥 的 概念 后 ,加 密 的 过 程 可 更 准确 地 表示 为 : c 二 Ex (m) ,解密 的 过 程 可 表示 
为 m 二 Dg,(c) ,其 中 MEMcEC。 

从 数学 的 角度 来 看 ,一 个 密码 系统 是 一 组 映射 , 它 是 在 密 钥 控制 下 将 明文 空间 中 的 
每 一 个 元 素 映 射 到 密 文 空间 中 的 某 个 元 素 。 这 组 映射 由 加 密 算法 确定 ,明文 空间 的 元 素 
到 密 文 空间 的 元 素 可 以 是 一 对 一 的 映射 ( 单 表 替换 密码 ), 也 可 以 是 多 对 多 的 映射 (多 表 
替换 密码 ) ,还 可 以 是 多 对 一 的 映射 (如 单 向 散 列 函数 ) 等 。 而 具体 使 用 哪 一 个 映射 由 密 
钥 决 定 。 


Os 密码 学 基础 
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6. 密码 分 析 者 


在 密码 系统 所 处 的 保密 通信 系统 环境 中 ,除了 预定 的 接收 者 外 ,还 有 攻击 者 (或 称 非 
授权 者 ) ,它们 通过 各 种 方式 来 窃听 或 干扰 信息 。 例 如 ,攻击 者 (此 时 又 称 为 密码 分 析 者 ， 
cryptanalyst) 可 采用 搭 线 窃听 等 方式 直接 获得 未 经 加 密 的 明文 或 加 密 后 的 密 文 ,并 分 析 
得 知 明 文 , 这 种 对 密码 系统 的 攻击 手段 称 为 被 动 攻 击 (passive attack) ;攻击 者 还 可 以 采 
用 删除 ,更改 .增添 . 重 放 、 伪 造 等 手段 主动 向 系统 注入 假 信 息 , 这 种 攻击 手段 称 为 主动 攻 
击 (active attack) 。 两 种 攻击 手段 如 表 2. 1 所 示 。 


表 2.1 被 动 攻击 和 主动 攻击 


攻击 手段 形 式 威 胁 特 ”点 
被 动 攻 击 窃听 流量 分 析 ” 机 密 性 不 破坏 原始 信息 ,难于 发 现 
自 改 、 伪 造 、 重 放 完整 性 /真实 性 易于 发 现 , 但 难于 防范 
主动 攻击 
拒绝 服务 可 用 性 


@ 流量 分 析 : 是 指 攻击 者 通过 分 析 网 络 中 某 一 路 径 的 信息 流量 和 流向 ,就 可 以 判断 某 事件 的 发 生 , 进 而 可 采取 


其 他 攻击 行为 。 


可 以 看 出 ,对 一 个 密码 系统 的 被 动 攻击 将 损害 明文 信息 的 机 密 性 , 即 需要 保密 的 明 
文 信息 遭 到 泄露 ;而 对 一 个 密码 系统 的 主动 攻击 将 损害 明文 信息 的 完整 性 , 即 接收 方 收 
到 的 消息 与 发 送 方 所 发 出 的 消息 不 一 致 。 保 证 信息 机 密 性 的 基本 思想 是 使 用 密码 算法 
进行 加 密 , 而 保证 信息 完整 性 可 采用 单 向 散 列 函 数 对 消息 生成 散 列 码 或 MAC( 消 息 认证 
码 ) 来 验证 数据 的 完整 性 。 


212 密码 体制 的 分 类 


密码 体制 (cipher system) 是 指 完成 加 密 和 解密 的 算法 。 通 常 ,信息 的 加 密 和 解密 过 
程 是 通过 密码 体制 十 密 钥 来 控制 的 。 密 码 体 制 必须 易于 使 用 ,特别 是 应 适合 计算 机 运算 
使 用 。 密 码 体制 的 分 类 方法 有 很 多 ,常见 的 分 类 方法 有 以 下 几 种 。 


1. 按照 密码 的 发 展 历史 分 类 
根据 密码 的 发 展 历史 ,密码 体制 可 分 为 古典 密码 和 近 现 代 密码 。 
2. 按照 需要 保密 的 内 容 分 类 


根据 密码 体制 的 密码 算法 是 否 需要 保密 ,可 分 为 受 限 制 的 算法 (算法 的 保密 性 基于 
保持 算法 的 秘密 ) 和 基于 密 钥 的 算法 (算法 的 保密 性 仅仅 基于 对 密 钥 的 保密 ) 。 

1883 年 Kerchoffs 第 一 次 明确 提出 了 编码 的 原则 , 即 加 密 算法 应 建立 在 算法 的 公开 
不 影响 明文 和 密 钥 的 安全 的 基础 上 , 即 加 密 和 解密 算法 都 可 以 公开 ,只 要 保证 密 钥 的 机 
密 性 就 可 实现 安全 , 即 “一 切 秘密 存在 于 密 钥 之 中 ”。 这 一 原则 已 得 到 普遍 承认 ,成 为 判 
定 密码 算法 强度 的 标准 ,实际 上 也 成 为 了 划分 古典 密码 和 近 现 代 密码 的 标准 。 
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全 yas 全 应 几 


Kerchoffs 原则 对 当今 密码 学 的 发 展 具有 重大 意义 ,因为 只 有 算法 通用 化 ,才能 使 得 
大 规模 的 保密 通信 变 得 容易 。 如 果 加 密 算法 需要 保密 .那么 每 个 组 织 都 只 能 使 用 不 同 的 
加 密 算 法 ,信息 只 能 在 该 组 织 内 进行 保密 通信 ,其 他 组 织 即 使 知道 密 钥 也 无 法 对 该 组 织 
加 密 的 信息 进行 解密 ,因此 保密 通信 无 法 在 大 范围 内 进行 。 


3. 按 加 密 /解密 密 钥 是 否 相 同 分 类 


根据 加 密 算法 和 解密 算法 所 使 用 的 密 钥 是 否 相 同 , 可 分 为 对 称 密码 体制 和 公 钥 密码 
体制 。 

(1) 对 称 密 钥 密码 体制 (symmetric key cryptosystem) : 也 称 为 单 钥 密码 体制 或 秘密 
密 钥 密码 体制 。 其 特点 是 加 密 密 钥 和 解密 密 钥 相同 ,或 实质 上 等 同 ( 即 可 以 由 其 中 任意 
一 个 密 钥 很 容易 地 推 知 另外 一 个 ) 。 常 见 的 对 称 密码 体制 算法 有 DES .IDEA 和 AES 等 。 
对 称 密码 体制 的 优点 是 加 解密 速度 快 。 使 用 对 称 密码 体制 时 ,如 果 能 够 加 密 就 意味 着 必 
然 能 够 解密 ,反之 亦 然 。 

(2) 公 钥 密码 体制 (public key cryptosystem) : 也 称 为 非 对 称 密码 体制 。 它 的 特点 
是 加 密 密 钥 和 解密 密 钥 不 同 , 并 且 从 一 个 密 钥 推 导出 另 一 个 密 钥 在 计算 上 是 不 可 行 的 。 
公 钥 密码 体制 的 优点 是 公 钥 可 以 公开 ,这 适合 于 Internet 开放 性 的 需要 , 密 钥 分 配 和 管 
理 相 对 简单 ,并 且 可 以 实现 数字 签名 和 抗 抵赖 服务 。 由 于 公 钥 密码 体制 一 般 基 于 某 个 数 
学 难题 来 实现 ,因此 它 的 主要 缺点 是 加 解密 速度 慢 , 而 且 不 便于 计算 机 硬件 实现 。 


4. 按照 对 明文 的 处 理 方式 分 类 


根据 密码 体制 对 明文 的 加 密 方式 ,可 分 为 分 组 密码 和 流 密码 。 

(1) 分 组 密码 将 明文 切 分 成 国定 长 度 的 分 组 ,用 同一 密 钥 和 算法 逐 组 进行 加 密 。 它 
具有 良好 的 扩散 特性 ,对 插入 和 修改 也 具有 免疫 性 。 

(2) 流 密 码 又 称 为 序列 密码 , 它 是 每 次 加 密 一 位 或 一 字 节 的 明文 。 流 密码 的 特点 是 
加 密 速 度 较 快 ,错误 扩散 较 低 ,但 它 不 利于 防止 信息 的 插入 和 修改 。 


5. 根据 是 否 能 进行 可 逆 的 加 密 变换 分 类 


根据 密码 体制 能 否 进 行 可 逆 的 加 密 变 换 , 又 可 分 为 单 向 函数 密码 体制 和 双向 变换 密 
码 体制 。 

(1) 单 向 函数 密码 体制 是 一 类 特殊 的 密码 体制 ,其 性 质 是 : 可 以 很 容易 地 把 明文 转 
换 成 密 文 ,但 再 把 密 文 转换 成 正确 的 明文 却 是 不 可 行 的 ,甚至 是 不 可 能 的 。 例 如 ,通过 单 
向 散 列 函数 可 以 将 一 篇 10 万 字 的 文章 转换 成 128b 的 摘要 ,显然 这 样 转换 过 程 中 存在 大 
量 的 信息 损失 ,因此 不 可 能 再 将 摘要 转换 回 原始 的 明文 。 单 向 函数 只 适用 于 某 些 特殊 
的 .不 需要 解密 的 应 用 场合 ,如 用 户 的 口令 存储 或 信息 的 完整 性 保护 与 鉴别 等 。 

(2) 双向 变换 密码 体制 是 指 能 够 进行 可 逆 的 加 密 .解密 变换 , 绝 大 多 数 加 密 算法 都 属 
于 这 一 类 , 它 要 求 所 使 用 的 密码 算法 能 够 进行 可 逆 的 双向 加 解密 变换 。 


第 给 葬 ， 家 双 崇 基 需 
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213 密码 学 的 发 展 历程 


密码 学 是 一 门 古老 的 科学 ,大 概 自 人 类 社会 出 现 战争 便 产 生 了 密码 技术 ,以 后 逐渐 
形成 一 门 独立 的 学 科 。 密 码 学 的 发 展 历史 大 致 可 以 分 为 3 个 阶段 。 


1. 古典 密码 体制 


从 古代 到 1949 年 以 前 ,是 密码 发 展 的 第 一 阶段 一 一 古典 密码 体制 阶段 。 古 典 密码 
体制 是 通过 某 种 方式 的 文字 置换 进行 的 ,这 种 置换 一 般 是 通过 某 种 手工 或 机 械 变 换 方式 
进行 转换 ,同时 简单 地 使 用 数学 运算 。 虽 然 在 古代 加 密 方法 中 已 体现 了 密码 学 的 若干 要 
素 , 但 它 只 是 一 门 艺术 ,还 不 能 算是 一 门 科 学 。 密 码 技术 专家 常常 是 任 直 觉 和 信念 来 进 
行 密码 设计 和 分 析 ,而 不 是 推理 和 证 明 。 


2. 近代 密码 体制 


1949 一 1975 年 ,是 密码 学 发 展 的 第 二 阶段 。1949 年 香农 (Shannon) 发 表 了 题 为 ( 保 
密 通 信 的 信息 理论 》 的 著名 论文 ,首次 将 信息 论 引 入 到 密码 学 ,从 而 把 密码 学 置 于 坚实 的 
数学 基础 之 上 ,奠定 了 密码 学 的 理论 基础 。 该 文 利用 统计 的 观点 对 信息 源 、 密 钥 源 、 接 收 
和 截获 的 密 文 进行 了 数学 描述 和 定量 分 析 , 提 出 了 通用 的 密 钥 密码 体制 模型 。 


3. 密码 学 的 新 方向 


1976 年 ,美国 密码 学 家 Diffie 和 Hellman 在 一 篇 题 为 《密码 学 的 新 方向 ) 的 论文 中 提 
出 了 一 个 轿 新 的 思想 ,不仅 加 密 算法 可 以 公开 ,而且 加 密使 用 的 密 钥 也 可 以 公开 ,但 这 并 
不 意味 着 保密 程度 的 降低 ,这 就 是 著名 的 公 钥 密码 体制 。 公 钥 密 码 体制 解决 了 在 
Internet 上 如 何 将 密 钥 安全 地 送 到 接收 方 等 对 称 密码 体制 遇 到 的 不 可 逾越 的 难题 。1978 
年 ,R.L. Rivest,A. Shamir 和 L. Adleman 实现 了 RSA 公 钥 密码 体制 。 


214 密码 分 析 与 密码 系统 的 安全 性 


密码 分 析 研 究 如 何 分 析 和 破译 密码 。 密 码 分 析 是 指 密码 分 析 者 虽然 不 知道 密码 系 
统 所 使 用 的 密 钥 ,但 他 可 能 会 从 截获 的 密 文中 通过 分 析 推 导出 原来 的 明文 。 对 于 一 个 密 
码 体 制 ,如 果 能 够 根据 密 文 确定 明文 或 密 钥 ,或 者 能 够 根据 明文 和 相应 的 密 文 确定 密 钥 ， 
则 我 们 说 这 个 密码 体制 是 可 破译 的 ;否则 , 称 其 为 不 可 破译 的 。 但 实际 上 ,一 个 密码 系统 
的 安全 性 取决 于 以 下 两 方面 的 因素 。 

(1) 所 使 用 的 密码 算法 的 保密 强度 。 密 码 算 法 的 保密 强度 取决 于 密码 设计 的 水 平 、 
破译 技术 的 水 平 以 及 攻击 者 对 于 加 密 系 统 知识 的 了 解 程度 。 密 码 系统 所 使 用 的 密码 算 
法 的 保密 强度 提供 了 该 系统 安全 性 的 技术 保障 。 

(2) 密码 算法 以 外 不 安全 的 因素 。 即 使 密码 算法 能 够 达到 实际 上 的 不 可 破译 ,攻击 
者 也 可 能 不 通过 对 密码 算法 进行 破译 ,而 是 通过 其 他 技术 或 非 技术 手段 窃取 密 钥 来 攻破 
一 个 密码 系统 。 在 很 多 时 候 , 窃 取 密 钥 比 破解 密码 算法 的 代价 要 小 得 多 ,可 以 说 , 密 钥 的 
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安全 是 整个 密码 系统 安全 的 核心 。 
因此 ,密码 算法 的 保密 强度 并 不 等 价 于 密码 系统 整体 上 的 安全 性 。 一 个 密码 系统 必 
须 同 时 完善 技术 与 管理 上 的 要 求 ,才能 保证 整个 系统 的 安全 。 


1. 密码 分 析 的 方法 


密码 分 析 者 破译 密码 的 方法 主要 有 穷 举 攻击 法 、 统 计 分 析 法 和 数学 分 析 法 。 

(1) 穷 举 分 析 攻 击 (exhaustive attack) ,又 称 为 蛮 力 (brute force) 攻 击 或 暴力 破解 ,是 
指 密码 分 析 者 采用 遍历 (ergodic) 全 部 密 钥 空间 的 方式 对 所 获 密 文 进行 解密 ,直到 获得 正 
确 的 明文 。 对 抗 穷 举 攻击 的 对 策 是 增 大 密 钥 空间 的 密 钥 量 , 如 增加 密 钥 长 度 , 或 在 明文 、 
密 文中 增加 随机 宛 余 信息 等 。 

(2) 统计 分 析 攻 击 (statistical analysis attack) ,是 指 密码 分 析 者 通过 分 析 密 文 和 明 
文 的 统计 规律 来 破译 密码 。 对 抗 统计 分 析 的 对 策 是 设法 使 明文 的 统计 特性 不 带 入 密 文 ， 
密 文 不 带 有 明文 的 痕迹 ,而 呈现 出 极 大 的 随机 性 。 能 够 对 抗 统计 分 析 攻 击 已 成 为 近代 密 
码 的 基本 要 求 。 

(3) 数学 分 析 攻 击 (mathematical analysis attack) ,是 指 密码 分 析 者 针对 加 解密 算法 
的 数学 基础 和 某 些 密码 学 特性 ,通过 数学 求解 的 方法 来 破译 密码 。 抵 抗 这 种 攻击 的 对 策 
是 选用 具有 坚实 数学 基础 和 足够 复杂 的 加 密 算法 。 


2. 密码 分 析 攻 击 的 类 型 


在 假设 密码 分 析 者 已 经 知道 所 用 加 密 算法 的 前 提 下 ,根据 密码 分 析 者 对 明文 、 密 文 
等 数据 资源 的 掌握 程度 ,可 以 将 针对 加 密 系 统 的 密码 分 析 攻 击 类 型 分 为 以 下 4 种 。 

(1) 唯 密 文 攻击 (Ciphertext-only attack) 。 分 析 者 仅 能 根据 截获 的 一 个 或 一 些 密 文 
进行 攻击 ,目标 是 得 到 明文 或 密 钥 ,这 是 对 密码 分 析 者 最 不 利 的 情况 。 

(2) 已 知 明文 攻击 (plaintext-known attack)。 是 指 密码 分 析 者 除了 有 截获 的 密 文 
外 ,还 有 一 些 已 知 的 “明文 - 密 文 对 ?来 破译 密码 。 密 码 分 析 者 的 任务 目标 是 推出 用 来 加 密 
的 密 钥 或 某 种 算法 ,这 种 算法 可 以 对 用 该 密 钥 加 密 的 任何 新 的 消息 进行 解密 (加 密 后 的 
计算 机 程序 很 容易 受到 这 类 攻击 ) 。 

(3) 选择 明文 攻击 (chosen-plaintext attack)。 是 指 密码 分 析 者 不 仅 可 得 到 一 些 “ 明 
文 - 密 文 对 ”, 还 可 以 任意 选择 希望 被 加 密 的 明文 ,并 获得 相应 的 密 文 。 这 时 密码 分 析 者 能 
够 选择 特定 的 明文 数据 块 去 加 密 , 并 比较 明文 和 对 应 的 密 文 ,以 分 析 和 发 现 更 多 的 与 密 
钥 相 关 的 信息 。 计 算 机 文件 系统 和 数据 库 特 别 容易 受到 这 类 攻击 。 

(4) 选择 密 文 攻击 (Chosen-Ciphertext attack)。 是 指 密码 分 析 者 可 以 选择 一 些 密 
文 , 并 得 到 相应 的 明文 。 密 码 分 析 者 的 任务 目标 是 推出 密 钥 。 这 种 密码 分 析 多 用 于 攻击 
公 钥 密码 体制 。 

这 4 种 攻击 的 强度 按 序 递增 , 唯 密 文 攻击 是 最 弱 的 一 种 攻击 ,选择 密 文 攻击 则 是 最 
强 的 一 种 攻击 。 由 于 在 实际 中 ,攻击 者 可 能 输入 一 段 明文 ,然后 观察 相应 的 密 文 , 因 此 现 
代 加 密 算 法 的 目标 是 : 即使 攻击 者 知道 加 密 算法 ,并且 使 用 选择 明文 攻击 方式 来 进行 攻 
击 , 也 很 难 破解 。 
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3. 密码 系统 安全 性 的 概念 


一 个 密码 系统 为 无 条 件 安 全 (unconditionally secure) 就 是 指 即 使 接收 到 无 限 密 文 ， 
也 无 法 确定 其 密 钥 。 可 以 证 明 , 只 有 采用 一 次 一 密 的 加 密 方法 ,才能 达到 无 条 件 安全 ,但 
这 在 实际 中 是 不 现实 的 。 

一 个 密码 系统 为 计算 上 安全 (computationally secure) 就 是 指 该 密码 系统 满足 破解 密 
文 的 花费 远 远 大 于 所 加 密 信息 的 价值 或 破解 密 文 所 花费 的 时 间 远 远 多 于 该 信息 的 有 效 
时 间 。 一 般 认为 ,密码 系统 只 要 可 达到 计算 上 安全 就 是 安全 的 。 

一 个 密码 系统 为 可 证 明 安 全 (provable secure) 就 是 指 该 密码 安全 性 问题 可 转化 成 某 
个 研究 人 员 公 认 的 数学 困难 问题 。 


22 对 称 密 玛 体制 


对 称 密码 体制 , 即 加 密 密 钥 与 解密 密 钥 相 同 的 密码 体制 ,这 种 体制 只 要 知道 加 密 ( 或 
解密 ) 算 法 ,就 可 以 反 推 解密 (或 加 密 ) 算 法 。 在 1976 年 公 钥 密码 算法 提出 以 前 ,所 有 的 
加 密 算法 都 是 对 称 密码 体制 。 对 称 密码 体制 可 分 为 分 组 密码 和 流 密码 。 本 节 介 绍 古 典 
密码 ,分 组 密码 和 流 密码 。 


221 古典 密码 


古典 密码 是 现代 密码 的 基础 , 它 包 含 着 密码 处 理 的 基本 功能 单元 ,分 析 古 典 密码 有 
助 于 更 好 的 理解 .设计 和 分 析 近 现代 密码 体系 。 历 史上 经 典 加 密 法 都 属于 对 称 密码 体 
制 ,采用 的 加 密 思想 可 分 为 奉 代 和 置换 。 

(1) 替代 (substitution) 是 将 明文 中 的 每 个 元 素 映射 为 另 一 个 元 素 ( 可 以 看 成 是 一 个 
大 的 查 表 运 算 ) ,明文 元 素 被 其 他 元 素 所 替代 而 形成 密 文 。 

(2) 置换 (permutation) 又 称 为 换 位 ,是 改变 明文 消息 中 各 元 素 的 排列 位 置 , 但 明文 
消息 元 素 本 身 的 取 值 或 内 容 不 变 。 可 以 证 明 置 换 是 替代 的 一 种 特殊 形式 。 

近 现 代 密 码 技术 常 将 替代 和 置换 两 种 技术 结合 起 来 使 用 ,使 得 密码 更 难 破解 。 

例如 ,对 于 明文 dog, 使 用 替代 技术 加 密 得 到 的 密 文 可 能 是 eph, 使 用 置换 技术 加 密 
得 到 的 密 文 可 能 是 ogd。 

讨论 : 下 面 的 密码 算法 采用 的 加 密 思 想 各 是 什么 ? 明文 、 密 文 、 密 钥 及 加 密 算 法 各 是 
什么 ? 

(1) scytale 密码 : 古 希 腊 的 斯 巴 达 人 使 用 一 种 叫 作 scytale 的 棍子 来 传递 加 密 信息 。 
在 scytale 上 ,斯 巴 达 人 会 呈 螺 旋 形 地 缠绕 上 一 条 羊皮 纸 或 皮带 (图 2. 2)。 发 信人 在 缠绕 
的 羊皮 纸 上 横 着 写 下 相关 的 信息 ,然后 将 羊皮 纸 取 下 ,这样 羊皮 纸 上 就 是 一 些 毫 无 意义 
的 字母 顺序 。 如 果 要 将 这 条 消息 解码 ,接收 方 只 要 将 羊皮 纸 再 次 缠绕 在 相同 直径 的 棍棒 
上 ,就 可 以 读 出 信息 的 内 容 了 。 

(2) 棋盘 密码 : 是 将 26 个 英文 字母 写 在 5X5 的 表格 中 (其 中 1 和 j 视 为 同一 个 字 
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母 ) ,如 图 2. 3 所 示 。 每 个 字母 对 应 的 密 文 由 行 号 和 列 号 对 应 的 数字 组 成 ,如 h 对 应 的 密 
文 是 23,e 对 应 15 ,等 等 。 


4|9 r s| tilu 


5|vilwlxlylz 


图 2.2 scytale 密码 图 2.3 棋盘 密码 


下 面 介绍 几 种 有 代表 性 的 古典 密码 及 其 加 密 运算 思想 ,以 及 对 它们 的 一 些 破译 方 
法 。 读 者 应 重点 领悟 蔡 代 和 置换 . 单 表 替 代 密 码 和 多 表 替 代 密码 的 含义 。 


1. 移 位 密码 


移 位 密码 是 最 简单 的 一 种 密码 体制 ,是 公元 前 50 年 古 罗 马 的 凯撒 大 帝 在 高 卢 战争 
中 发 明 的 加 密 方法 ,因此 又 被 称 为 凯撒 密码 。 移 位 密码 将 英文 字母 向 前 移动 上 位 。 假 如 
& 一 3, 则 密 文 字母 与 明文 有 如 下 的 对 应 关系 。 

明文 :y o u t h 

密 文 :b r x w k (将 明文 每 个 字母 前 移 3 位 ) 

移 位 密码 的 明文 空间 M、 密 文 空间 C 和 密 钥 空间 天。 相同 , 且 都 满足 M 一 C 一 开 。 一 
{10,1,2,…,25) 二 Zoe (提示 : Zx 表 示 模 26 的 余数 的 集合 ) , 即 把 26 个 英文 字母 与 整数 0， 
1,2,…,25 对 应 起 来 ,如 表 2. 2 所 示 。 

表 2.2 字母 数字 映射 表 


字母 |aljbljcldlelflglhliljilklllmlnlolplqlrlsltlulvilwlxlylz 


数字 |011|1213|14|15|16|7|8|9|10|11|12|13|14|15|16|17|18|19|20|21|22|23|24|25 


移 位 密码 的 加 密 变 换 和 解密 变换 的 函数 表达 式 如 下 : 

加 密 变 换 : Ei(m) 二 m 十 (k mod 26) mEM,kEK 

解密 变换 : Di(c)==c 一 (k mod 26) cEC,kEK 

解密 后 再 把 数字 转换 成 相应 的 英文 字母 即 可 。 

对 于 这 种 密码 ,车 攻击 者 知道 采用 的 是 移 位 密码 体制 , 则 很 容易 利用 穷 举 法 将 密 文 
解密 ,按照 移 位 密码 的 解密 规则 ,最 多 尝试 25 次 ,就 能 找到 密 文 对 应 的 明文 信息 。 

车 采用 的 密 钥 是 二 0, 则 加 密 后 的 密 文 和 明文 相同 ,这样 的 密 钥 称 为 弱 密 钥 。 在 密 
码 体制 中 , 若 密 钥 & 使 得 加 密 变 换 和 解密 变换 一 致 ,这 样 的 & 就 是 弱 密 钥 。 如 果 一 个 密 
钥 能 够 解密 用 另 一 个 密 钥 加 密 的 密 文 , 则 这 样 的 密 钥 称 为 半 弱 密 钥 。 弱 密 钥 和 半 弱 密 钥 
会 引起 安全 问题 ,好 的 密码 系统 中 它们 占 的 比例 应 该 尽 可 能 小 。 

移 位 加 密 法 的 弱点 是 可 预测 性 , 它 实 际 上 是 一 种 线性 变换 。 只 要 决定 将 明文 消息 中 
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的 字母 替换 成 相距 & 个 字母 的 字母 ,就 可 以 用 同样 的 方法 替换 明文 消息 中 的 所 有 其 他 字 
母 。 这 样 , 密 码 分 析 员 最 多 只 要 进行 25 次 攻击 ,就 一 定 能 取得 成 功 。 

提示 : 对 于 移 位 密码 ,加 密 时 需 将 明文 字母 和 密 钥 转换 成 数字 ,再 对 数字 进行 运算 
最 后 又 要 将 运算 结果 数字 转换 成 密 文字 母 。 这 需要 3 个 步 
骤 , 有 些 麻烦 。 饥 搬 发 明了 和 转 轮 ,如 图 2.4 所 示 。 他 把 26 
个 拉丁 字母 写 在 内 外 两 个 圆 盘 对 应 的 位 置 。 然 后 转动 内 
盘 , 移 动 一 个 角度 ,再 把 内 盘 的 字母 用 外 盘 的 字母 代替 ,就 
把 明文 变 成 了 密 文 。 

转 轮 的 发 明 在 古典 密码 学 中 具有 重要 意义 ,因为 很 多 
种 对 称 密 码 体制 都 能 用 转 轮 或 更 复杂 的 转 轮机 进行 运算 。 
在 计算 机 发 明 以 前 , 转 轮机 是 进行 密码 运算 的 主要 工具 , 它 
在 两 次 世界 大 战 的 情报 加 密 中 得 到 了 广泛 应 用 。 图 2.4 移 位 密码 转 轮 

2. 一 般 单 表 替 代 密 码 

一 般 单 表 替 代 密 码 是 通过 建立 一 张 “ 明 文 - 密 文 " 对 照 表 来 实现 加 密 的 方法 ,这 样 明文 
消息 中 的 每 个 字母 不 是 移动 相同 的 位 数 ,而 是 根据 某 张 字符 对 照 表 进行 替换 ,因此 在 一 
个 明文 消息 中 ,每 个 A 可 以 替换 成 B~Z 中 的 任意 字母 ,B 也 可 以 替换 成 A 或 C~Z 中 的 
任意 字母 ,等 等 。 这 里 的 关键 区 别 是 B 的 替换 与 A 的 替换 没有 任何 关系 。 一 般 单 表 替代 
密码 首先 要 建立 一 张 字母 替代 表 。 表 2. 3 就 是 一 张 一 般 单 表 替代 表 。 

表 2.3 一 张 一 般 单 表 替代 密码 的 “明文 - 密 文 " 对 照 表 


明文 a b c d e f g h i j k 1 m 
密 文 q w e r y u i DO p a S d 
明文 n oO p q 光 上 t u v w x y Zz 
密 文 f & h j k 1 z x e b n m 


在 进行 加 密 或 解密 运算 时 ,直接 查 表 进行 替代 就 可 以 了 。 例 如 : 
Ei.(dog)=x(dog)=rgu; Di(htghst)=x !(htghst)= people 

一 般 单 表 替代 密码 的 特点 是 : 字母 之 间 的 替换 是 一 种 非 线性 关系 ,数学 上 ,可 以 使 用 
26 个 字母 任意 替换 与 组 合 , 从 而 得 到 (26X25X…X2X1l) 种 可 能 ,破译 者 采用 穷 举 攻击 
在 计算 上 是 不 可 行 的 ,假设 他 lws 试 一 个 密 钥 ,遍历 全 部 密 钥 需要 10” 年 。 

一 般 单 表 替代 密码 的 缺点 是 密 钥 x 为 一 张 字母 映射 表 , 因 此 密 钥 不 便于 记忆 ,而 且 
一 般 单 表 替代 密码 仍然 是 容易 破解 的 ,因为 它 不 能 经 受 住 统计 分 析 。 一 旦 密 文 消息 足够 
长 ,攻击 者 可 利用 语言 的 统计 特性 进行 分 析 。 在 英文 中 ,每 个 字母 的 出 现 频率 在 大 规模 
的 文本 中 大 概 是 固定 的 。 语言 分 析 师 发 现 ,26 个 英文 字母 的 出 现 频率 大 致 如 表 2. 4 
所 示 。 


表 2.4 26 个 英文 字母 出 现 频率 


字母 出 现 频率 字母 出 现 频率 字母 出 现 频率 字母 出 现 频率 

a 0. 0856 h 0. 0528 o 0. 0797 v 0. 0092 
b 0. 0139 i 0. 0627 p 0. 0199 w 0. 0149 
c 0. 0279 j 0. 0013 q 0. 0012 x 0. 0017 
d 0. 0378 k 0. 0042 0. 0677 y 0. 0199 
e 0. 1304 1 0. 0339 s 0. 0607 z 0. 0008 
f 0. 0289 0. 0249 t 0. 1045 

g 0. 0199 0. 0707 u 0. 0249 


字母 和 字母 组 的 统计 数据 对 于 破译 单 表 替代 密码 是 非常 有 用 的 ,因为 它们 可 以 提供 
有 关 密 钥 的 很 多 信息 。 例 如 ,因为 字母 e 比 其 他 字母 的 出 现 频率 高 很 多 ,如 果 密 文中 有 
一 个 字母 的 出 现 频率 比 其 他 字母 都 高 ,可 以 猜测 这 个 字母 对 应 的 明文 字母 为 e, 又 如 英文 
中 the 的 出 现 频率 相当 高 ,如 果 密 文中 总 是 频繁 出 现 3 个 固定 的 密 文字 母 ,可 猜测 这 3 个 
字母 对 应 的 明文 为 the。 进 一 步 比 较 密 文 和 明文 的 各 种 统计 数据 及 其 分 布 , 便 可 确定 密 
钥 , 从 而 破译 一 般 单 表 替代 密码 。 


3. 仿 射 密码 


针对 一 般 单 表 替代 密码 的 密 钥 x 不 便 记 忆 的 问题 ,又 衍生 出 各 种 形式 的 单 表 蔡 代 密 
码 , 仿 射 密码 便 是 一 种 , 它 可 以 看 成 是 对 移 位 密码 的 改进 ,因此 也 是 一 种 线性 变换 。 
仿 射 密码 的 明文 空间 和 密 文 空间 与 移 位 密码 相同 ,但 密 钥 空间 为 K=={(ki,ks) | k&， 
ks €E Zz ,gcd(k1 ,26) 一 1)。 
注意 : ki 必须 和 26 互 素 , 如 果 不 互 素 , 例 如 取 二 2, 则 明文 m 二 m; 和 m 二 mj 十 13 
两 个 字符 都 将 被 映射 成 同一 个 密 文 字符 (如 1 和 14 都 将 被 映射 到 同一 个 字符 ) 。 
对 任意 mEM,cEC,k 二 (ki ,ks)EK, 定 义 加 密 变 换 为 
c=E(m)= (kim+tk,) mod 26 
相应 的 解密 变换 为 
m= Di(c)=ki!(c—k:) mod 26 
其 中 ,ki ki! 二 1 mod 26。 很 明显 ,当局 一 1 时 即 为 移 位 密码 ,而 当 , 二 0 时 则 称 为 乘法 密 
码 。 下 面 是 一 个 仿 射 密码 加 密 的 例子 。 
【 例 2. 1】 设 明文 消息 为 “china”, 密 钥 &= (Ai ,As ) 一 (9,2) ,试用 仿 射 密码 对 其 进行 
加 密 ,然后 再 进行 解密 。 
解 : 加 密 变换 为 
Ei.(m)=(kim+t+k,) mod 26= (9m++2) mod 26 
查 表 2. 2 可知 明文 消息 “china” 对 应 的 数字 依次 为 2,7,8,13,0, 用 仿 射 密码 对 明文 
字母 对 应 的 数字 依次 进行 加 密 运 算 即 得 到 密 文 对 应 的 数字 ,再 查 表 2. 2 即 得 到 密 文 为 


网 » 
unwpc 。 
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解密 过 程 : 利用 扩展 的 欧 几 里 得 算法 求 &, 的 乘法 逆 元 ,可 计算 出 各: 一 3。 
再 进行 解密 变换 : 
Di(c)=ki!(c—ks) mod 26=3X(c—2) mod 26= (3c—6) mod 26 

由 于 仿 射 密码 的 A 必须 和 26 互 素 , 并 且 还 要 去 掉 1,k 的 密 钥 空间 实际 只 有 11 个 
密 钥 ,而 & 的 密 钥 空间 有 25 个 密 钥 ,因此 仿 射 密码 的 密 钥 空间 大 约 是 11 X25 二 275, 在 
抵抗 穷 举 攻击 方面 比 移 位 密码 要 好 些 。 

4. 密 钥 短语 密码 

密 钥 短语 密码 选用 一 个 英文 短语 或 单词 串 作 为 密 钥 , 先 去 掉 其 中 重复 的 字母 ,得 到 
一 个 无 重复 字母 的 字符 串 ,然后 再 将 英文 字母 表 中 的 其 他 字母 依次 写 于 该 字母 串 后 ,就 
可 构造 出 一 个 字母 替代 表 。 如 密 钥 为 university 时 , 先 去 掉 重 复 字 母 i, 成 为 universty, 再 
制作 替代 表 , 如 表 2. 5 所 示 。 

表 2.5 密 钥 为 university 的 单 表 替代 密码 

了 明文 字母 | a jbljcljdle|lflglhliljlklllmlnljoljplqlrlsltlulvlwlxlylz 


密 文字 母 | ulnljilvjelrlsltlylalblcldlflglhljlklllmlolplqlwjxlz 


以 上 这 几 种 密码 都 属于 单 表 替代 密码 。 单 表 替 代 密 码 的 特点 是 明文 字符 和 密 文字 
符 是 一 对 一 的 映射 关系 。 这 个 特点 使 得 密 文中 单字 母 出 现 的 频率 分 布 与 明文 中 的 相同 ， 
因此 任何 单 表 蔡 代 密码 都 经 不 起 统计 分 析 。 

本 质 上 , 单 表 替代 密码 可 表述 成 如 下 函数 形式 

Er(zoyziyzz，…) 一 (xzo),FGzi) fxs) ,*%) 

例如 对 于 移 位 密码 , 它 的 加 密 函 数 是 f(z) 二 x 十 (k mod 26) ,对 于 仿 射 密码 , 它 的 加 
密 函 数 是 f(z) 二 kx 十 (k。mod 26) , 均 是 线性 函数 。 而 对 于 一 般 单 表 替代 密码 和 密 钥 短 
语 密码 ,虽然 它们 的 加 密 函 数 不 好 用 公式 表示 出 来 ,但 它们 仍然 是 一 个 函数 ,因为 函数 的 
定义 是 对 于 每 个 自 变量 xz, 都 有 唯一 的 一 个 y 与 之 对 应 。 

下 面 介 绍 几 种 多 表 蔡 代 密 码 ,它们 和 单 表 替代 密码 有 明显 的 区 别 。 

多 表 替 代 密 码 使 用 从 明文 字母 到 密 文字 母 的 多 个 映射 来 隐藏 单字 母 出 现 的 频率 分 
布 ,每 个 映射 是 单 表 替代 密码 中 的 一 对 一 映射 ( 即 处 理 明 文 消息 时 使 用 不 同 的 单字 母 代 
替 )。 多 表 替 代 密 码 将 明文 字母 串 划分 为 长 度 相 同 的 消息 单元 , 称 为 明文 分 组 。 对 明文 
成 组 地 进行 替代 ,即使 用 了 多 张 字母 替代 表 。 这 样 ,同一 个 明文 字母 将 对 应 不 同 的 密 文 
字母 ,改变 了 单 表 替代 密码 中 明文 和 密 文 的 一 一 对 应 关系 ,这 使 得 对 密码 进行 统计 分 析 
的 难度 大 大 增加 。 多 表 蔡 代 密 码 的 函数 表达 式 如 下 

Er(xo X17T29°) = (fo xo) fi Cx), fo Cx),*) 


5. 维 吉 尼 亚 (Vigenere) 密 码 


维 吉 尼 亚 密码 是 一 种 典型 的 多 表 替 代 密 码 ,该 密码 体制 有 一 个 参数 ,表示 采用 位 
长 度 的 字符 串 ( 例 如 一 个 英文 单词 ) 作 为 密 钥 。 在 加 解密 时 ,同样 把 英文 字母 映射 成 0 一 
25 的 数字 再 进行 运算 ,并 按 个 字母 一 组 进行 变换 。 明 文 空间 、 密 文 空间 和 密 钥 空间 都 
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是 长 度 为 n 的 英文 字母 串 的 集合 。 其 加 密 变 换 定义 如 下 : 

设 密 钥 二 ko…k, ,明文 区 二 21mm22…m, , 则 加 密 变 换 为 

Ex (mi sm2 772 ) = mitk mod 26 ,zz 十 Re mod 26 ,… ,mk, mod 26) 

【 例 2.2】 设 明文 为 “killthem”, 密 钥 为 "gun”, 试 用 维 吉 尼 亚 密码 对 明文 进行 加 密 。 

解 : 

明文 对 应 的 数字 为 ，10 8 11 11 19 7 4 12 

密 钥 对 应 的 数字 为 : 6 20 13 6 20 13 6 20 

相 加 取 余 变换 后 : 16 2 24 17 13 20 10 6 

对 应 的 密 文 是 : h tt yy rr nn vw WwW g 

因此 明文 加 密 后 得 到 的 密 文 是 “hcyrnvwg”, 注 意 同一 明文 字母 “1” 被 替代 成 了 不 同 
的 密 文字 母 。 读 者 可 自行 验证 解密 过 程 。 

可 以 看 出 , 维 吉 尼 亚 密码 的 密 钥 空间 为 26”, 所 以 即使 n 的 值 很 小 ,使 用 穷 举 法 要 搜 
索 的 空间 也 非常 大 。 而 且 由 于 一 个 字母 可 以 被 蔡 代 成 不 同 的 密 文 字母 ,隐藏 了 字母 的 统 
计 特 性 ,因此 也 无 法 直接 用 统计 频率 的 方法 破解 。 所 以 说 多 表 蔡 代 密 码 的 安全 性 比 单 表 
替代 密码 大 大 提高 。 

破解 维 吉 尼 亚 密码 的 基本 思想 是 将 它 分 解 成 多 个 单 表 替代 密码 的 组 合 。 比 如 使 用 
了 5 个 字母 的 单词 作为 密 钥 就 可 看 成 是 5 组 单 表 替代 密码 的 组 合 。 将 第 1,6,11,… 个 字 
母 组 成 的 字符 串 看 成 是 第 一 个 单 表 替代 密码 ,将 第 2,7,12,… 个 字母 组 成 的 字符 串 看 成 
是 第 二 个 单 表 替代 密码 ,然后 再 对 它们 分 别 使 用 统计 分 析 就 可 以 破解 了 ,而 破解 的 关键 
就 在 于 要 找 出 维 吉 尼 亚 密 码 的 密 钥 长 度 , 这 是 将 它 正 确 划 分 成 几 组 单 表 替代 密码 的 基 
础 。 确 定 密 钥 长 度 常 采用 Kasiski 测试 法 和 重合 指数 法 。 

Kasiski 测试 法 的 基本 思想 是 ,车 密 钥 长 度 为 n, 则 当 两 个 相同 的 明文 片段 在 明文 序 
列 中 间隔 的 字符 数 是 n 的 整数 倍 时 ,将 加 密 成 相同 的 密 文 片 段 。 因 此 ,如 果 发 现 两 个 相 
同 的 密 文 段 ,对 应 的 明文 段 虽 然 不 一 定 相 同 , 但 相同 的 可 能 性 很 大 。 找 出 密 文中 一 对 对 
相同 的 密 文 段 (长 度 至 少 为 3) 之 间 的 距离 , 则 密 钥 长 度 n 就 可 能 是 这 些 距离 的 最 大 公 
因子 。 

提示 : 包括 维 吉 尼 亚 密码 在 内 的 所 有 古典 密码 都 不 能 抵抗 选择 明文 攻击 ,假设 攻击 
者 可 构造 一 条 特殊 的 明文 m 一 aaaaaaaaaaa…，, 然 后 用 维 吉 尼 亚 密 码 加 密 , 则 通过 密 文 可 
很 容易 地 分 析出 密 钥 民 的 长 度 ,进而 分 析出 密 钥 。 因 此 ,古典 密码 都 无 法 用 于 现代 保密 
通信 中 。 


6. 希 尔 密码 


希 尔 (Hil) 密 码 是 一 种 特殊 的 多 表 替 代 密 码 , 它 利用 矩阵 变换 来 对 信息 实现 加 密 。 
它 的 数学 定义 是 : 设 m 是 一 个 正 整数 , 令 M= 开 =(Zx)”, 密 钥 Kx 二 {定义 在 Zxs 上 的 
mXm 和 矩阵) ,其 中 的 行列 式 值 必须 和 26 互 质 ,否则 不 存在 开 的 道 矩 阵 K-!。 对 任意 
的 密 钥 Kx :定义 加 密 / 解 密 变 换 为 E(x) 二 Kxnz mod 26,Di(y) 二 Kany mod 26。 
【 例 2.3】 设 明文 为 “hill”, 密 钥 为 *bdbe”, 试 用 希 尔 密码 对 明文 进行 加 密 和 解密 。 
解 : 明文 对 应 的 数字 为 7、8、11、11, 密 文 对 应 的 数字 为 1、3、1、4。 
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将 它们 分 别 写成 矩阵 的 形式 有 


站 而 东 
| 
8 11 3 4 

用 密 钥 左 乘 m ,得 


| 7 11 15. .22 
< 一 +xm=| kk| Fs | 
3 4 8 11 53 .79 
再 将 矩阵 中 的 值 对 26 取 模 ,得 
15 22 1 22 
| joa26 =| | 
53. 77 1 25 
这 就 是 密 文 对 应 的 数字 了 ,将 密 文 对 应 的 数字 写成 一 行 
应 的 密 文 c 为 pbwz。 
解密 过 程 是 : 
首先 求 得 大 的 道 矩 阵 : 


得 15、1、22、25, 这 些 数字 对 


求 道 矩阵 的 方法 可 参考 线性 代数 的 教材 。 


则 
一 二 蜂 和 2 59 53 
m= xe=| | |=| | 
一 3 1 1 25 一 44 一 41 
再 将 矩阵 中 的 值 对 26 取 模 ,得 
59 53 过 
| | mod 26 = | | 
一 44 一 41 | 
可 看 到 已 解密 得 到 明文 对 应 的 数字 。 如 果 明 文 长 度 大 于 密 钥 长 度 , 则 将 明文 按照 密 
钥 的 长 度 进 行 分 组 ,每 一 组 分 别 与 密 钥 进行 矩阵 运算 。 
希 尔 密码 可 以 较 好 地 抗击 统计 分 析 攻 击 , 但 在 面 对 已 知 明文 攻击 时 就 很 容易 被 破 
解 ,特别 是 在 已 知 密 钥 矩阵 行 数 的 情况 下 。 


7. 置换 密码 


置换 密码 是 指 变换 明文 中 各 元 素 的 相对 位 置 ( 即 对 各 元 素 换 位 ) ,但 保持 其 内 容 不 变 
的 方法 , 即 通过 对 明文 元 素 的 重新 排列 来 达到 隐藏 明文 原始 内 容 所 表达 含义 的 加 密 方 
法 。 最 简单 的 置换 密码 是 直接 把 明文 内 容 倒 过 来 排列 作为 密 文 。 置 换 密码 的 一 个 显著 
峙 点 是 它 的 明文 字符 集合 和 密 文字 符 集合 完全 相同 。 

置换 密码 依赖 的 加 密 工具 一 般 是 矩阵 或 栅栏 。 常 见 的 置换 密码 有 列 置换 密码 .螺旋 
置换 密码 和 栅栏 密码 等 。 列 置换 密码 是 将 明文 信息 按照 行 的 顺序 排列 成 一 个 mx Xn 的 和 矩 
阵 , 然 后 按照 列 的 顺序 (由 密 钥 给 定 ) 输 出 密 文 。 

【 例 2.4】 设 明 文 w 为 attack begins at two, 密 钥 & 为 CIPHER . 试 利用 列 置换 密码 
进行 加 密 。 

解 : 密 钥 “CIPHER” 在 26 个 字母 中 出 现 的 顺序 为 1、5、4、3、2、6, 将 这 个 顺序 作为 密 
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:4s 全 应 用 


文 列 的 排列 顺序 。 密 钥 有 6 位 ,因此 和 矩阵 的 宽 为 6 列 。 该 方法 要 求 填 满 矩阵 ,如 果 明 文 
字母 不 够 ,可 添加 x 或 a。 具体 加 密 过 程 如 下 : 


和 5 4 3 2 6 
a 和 * a 六 k 
b e g i n S 
a w o x 


则 密 文 就 是 按 列 的 顺序 进行 重新 排列 , 密 文 c 为 aba cno aiw tgt tet ksx。 

解密 时 ,根据 密 文 长 度 18 和 密 钥 长 度 6 确定 行 数 为 3。 将 密 文 按 一 列 3 个 字母 写 
出 ,再 按 (1、5、4、3、2、6) 进 行列 置换 就 得 到 了 明文 。 

必须 指出 ,置换 密码 在 实质 上 是 希 尔 密码 的 特例 ,例如 置换 密码 Ek(Cdog) 一 ogd 可 用 
如 下 希 尔 密码 实现 : 


0@ 了 可 d O 
E(x)= Knxnx* =|10 0 1|x =|g 
下 作息 g d 


显然 置换 密码 只 是 对 原来 的 字母 进行 了 一 个 重新 排列 ,无 法 隐藏 语言 的 统计 特性 ， 
不 能 经 受 住 统计 分 析 , 因 此 ,置换 密码 很 难 单独 构成 保密 的 密码 。 但 是 ,作为 密码 编码 的 
一 个 环节 ,这 种 密码 常 与 替代 密码 共同 工作 ,是 现代 电子 技术 和 计算 机 密码 中 的 常用 编 
码 方案 。 


8. 古典 密码 体制 总 结 


通过 以 上 几 种 古典 密码 可 以 看 出 ,尽管 古典 密码 体制 没有 涉及 非常 高 深 或 复杂 的 理 
论 ,但 已 充分 体现 出 现代 密码 学 的 两 大 基本 思想 一 -替代 和 置换 ,而 且 还 将 数学 的 方法 
引入 到 密码 学 的 分 析 和 研究 中 。 图 2. 5 对 古典 密码 体制 进行 了 分 类 汇总 。 


移 位 密码 


| 一 一 一 | 仿 射 密码 


一 一 | 单 表 替 代 密码 一 一 


一 一 一 | 密 钥 短语 密码 


替代 密码 一 | 一 般 单 表 替 代 密 码 


一 一 一 >| 维 吉 尼 亚 密码 


-| 多 表 替 代 密 码 


置换 密码 


图 2.5 古典 密码 体制 的 分 类 汇总 
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222 分 组 密码 的 设计 


分 组 密码 (block cipher) 体 制 是 目前 应 用 较 广 泛 的 一 种 加 密 体制 。 分 组 密码 在 对 明 
文 加 密 时 ,首先 需要 对 明文 进行 分 组 ,每 组 的 长 度 都 相同 ,然后 对 每 组 明文 分 别 加 密 ,得 
到 等 长 的 密 文 。 分 组 密码 具有 速度 快 . 易 于 标准 化 和 便于 软 硬 件 实现 等 特点 ,通常 是 信 
息 与 网 络 安全 中 实现 数据 加 密 和 认证 的 核心 机 制 , 它 在 计算 机 通信 和 网 络 安 全 中 有 着 最 
广泛 的 应 用 。 


1. 分 组 密码 的 设计 要 求 


分 组 密码 设计 依据 的 思想 是 : 在 一 定 的 数学 规则 下 的 复杂 函数 可 以 通过 简单 函数 迭 
代 若 干 次 得 到 ,分 组 密码 利用 简单 函数 和 非 线 性 函数 等 运算 ,得 到 比较 复杂 的 变换 。 一 
般 情况 下 对 分 组 密码 算法 的 要 求 如 下 : 

(1) 分 组 长 度 久 要 足够 大 。 因 为 当 明 文 分 组 长 度 为 位 时 ,至 多 需要 2" 个 明文 - 密 
文 对 就 可 彻底 破解 密码 。 同 理 , 当 密 钥 长 度 为 n 位 时 ,至 多 只 需要 试验 2" 个 密 钥 就 可 破 
解 该 密 文 。 因 此 从 安全 角度 考虑 ,明文 分 组 和 密 钥 长 度 都 应 足够 大 。 当 分 组 长 度 较 小 
时 ,分 组 密码 类 似 于 某 些 古典 密码 ,如 维 吉 尼 亚 密 码 、 希 尔 密码 和 和 置换 密码 , 它 仍然 有 效 
地 保留 着 明文 中 的 统计 信息 ,这 种 统计 信息 给 攻击 者 留 下 了 可 乘 之 机 ,攻击 者 可 以 有 效 
地 穷 举 明文 空间 ,得 到 密码 变换 本 身 。 

(2) 密 钥 空 间 足 够 大 。 分 组 密码 的 密 钥 所 确定 的 密码 变换 只 是 所 有 置换 中 极 小 的 一 
部 分 。 如 果 这 一 部 分 足够 小 ,攻击 者 可 以 有 效 地 通过 穷 举 密 钥 确定 所 有 的 置换 ,到 达 一 
定时 间 ,攻击 者 就 可 以 对 密 文 进行 解密 ,以 得 到 有 意义 的 明文 。 

(3) 密码 变换 必须 足够 复杂 。 使 攻击 者 除了 穷 举 攻击 外 , 找 不 到 其 他 简洁 的 数学 破 
译 方法 。 


2. 分 组 密码 的 设计 原则 和 方法 


为 了 便于 实现 和 分 析 , 在 实际 中 经 常 采 用 以 下 两 个 方法 来 达到 上 面 的 要 求 : 

(1) 将 大 的 明文 分 组 再 分 成 几 个 小 段 ,分 别 完成 各 个 小 段 的 加 密 置 换 , 最 后 进行 并 行 
操作 。 这 样 做 是 为 了 使 分 组 长 度 足够 大 ,以 保证 密码 算法 的 强度 。 

(2) 采用 乘积 密码 技术 。 乘 积 密 码 就 是 以 某 种 方式 连续 执行 两 个 或 多 个 密码 变换 。 
例如 , 设 有 两 个 子 密码 变换 E 和 已 : , 则 先 以 已 对 明文 进行 加 密 , 然 后 再 以 Es 对 所 得 结 
果 进 行 加 密 ,其 中 Ei 的 密 文 空间 与 E; 的 明文 空间 相同 。 如 果 得 当 的 话 , 乘 积 密码 可 以 
有 效 地 掩盖 密码 变换 的 弱点 ,构成 比 其 中 任意 一 个 密码 变换 更 强 的 秘密 系统 。 

在 实际 中 ,分 组 密码 设计 的 指导 原则 是 采用 香农 的 建议 : 混淆 和 扩散 。 

(1) 混淆: 是 指 所 设计 的 密码 应 使 得 密 钥 和 明文 以 及 密 文 之 间 的 依赖 关系 相当 复 
杂 , 以 至 于 这 种 依赖 性 对 密码 分 析 者 来 说 无 法 利用 , 即 密码 可 以 对 分 析 者 隐藏 一 些 明文 
的 局 部 特征 。 例 如 , 单 表 替 代 密 码 就 不 符合 混淆 的 标准 , 像 双 字母 ee 这 样 的 局 部 特征 在 
密 文 中 依然 表现 为 双 字母 ,并 且 单 字母 的 出 现 频 率 将 依然 得 到 体现 。 

(2) 扩散 : 是 指 所 设计 的 密码 应 使 得 密 钥 的 每 一 位 影响 密 文 的 许多 位 ,以 防止 对 密 


34 


Muss sin 


钥 进 行 逐 段 破译 ,并 且 明文 的 每 一 位 也 影响 密 文 的 许多 位 ,以 隐蔽 明文 的 统计 特性 。 像 
维 吉 尼 亚 这 样 的 多 表 蔡 代 密 码 在 混淆 上 是 有 效 的 ,因为 它 不 是 在 每 一 时 刻 都 采用 同样 的 
方法 加 密 同 样 的 字符 。 但 维 吉 尼 亚 密码 在 扩散 上 是 失败 的 ,因为 它 没有 做 任何 换 位 ,该 
弱点 加 上 周期 性 替代 将 受到 Freidman 攻击 。 通 过 扩散 可 以 使 明文 的 不 同 部 分 都 不 停留 
在 原来 的 位 置 上 。 


3. 分 组 密码 的 工作 模式 


对 于 安全 的 分 组 密码 算法 来 说 ,采用 适当 的 工作 模式 可 隐藏 明文 的 统计 特性 、 数 据 
的 格式 等 ,以 提高 整体 的 安全 性 。 美 国 在 FIPS 中 定义 了 5 种 运行 模式 : 电子 密码 本 
(ECB) ,密码 分 组 链接 (CBC) .计数 器 模式 (CTR) ,输出 反馈 (OFB) 和 密码 反馈 (CFB)。 
任何 分 组 密码 算法 都 可 以 根据 不 同 的 应 用 使 用 5 种 模式 之 一 。 

(1) ECB 模式 是 最 简单 的 分 组 模式 , 它 直 接 利 用 加 密 算法 分 别 对 每 个 明文 分 组 进行 
加 密 。 其 特点 有 : 

@ 每 个 分 组 用 同一 个 密 钥 加 密 ,同样 的 明文 分 组 将 产生 同样 的 密 文 分 组 ,因此 安全 
性 有 限 ， 

@ 错误 传播 率 小 ,单个 密 文 分 组 中 有 一 个 或 多 个 比特 错误 只 会 影响 该 分 组 的 解密 。 

(2) CBC 模式 是 使 用 最 普遍 的 分 组 密码 运行 模式 。 它 将 第 一 个 明文 分 组 与 初始 向 
量 (Initial Vector,IV) 进 行 异 或 运算 ,而 将 后 面 的 明文 分 组 分 别 与 前 一 密 文 分 组 做 异 或 运 
算 ,再 使 用 相同 的 密 钥 对 所 有 蜡 或 后 的 分 组 进行 加 密 。 其 特点 是 : 

Q@ 每 个 明文 分 组 的 加 密 结果 不 仅 与 密 钥 有 关 , 还 与 前 一 密 文 分 组 有 关 , 因 此 ,同样 的 
明文 分 组 将 产生 不 同 的 密 文 分 组 ,安全 性 大 为 提高 ; 

@ 错误 传播 率 有 限 ,由 于 CBC 模式 引入 了 反馈 , 当 某 个 密 文 分 组 出 现 错误 后 ,会 影 
响 该 分 组 与 后 一 密 文 分 组 的 解密 ,但 其 他 分 组 不 受 影响 。 

(3) CTR、OFB、CFB 模式 均 可 将 分 组 密码 转换 为 流 密 码 , 其 特点 是 利用 分 组 密码 算 
法 作为 一 个 密 钥 流产 生 器 。 


223 数据 加 密 标准 (DES) 


数据 加 密 标 准 (Data Encryption Standard, DES) 也 称 为 数据 加 密 算法 (Data 
Encryption Algorithm,DEA) ,是 由 IBM 公司 研制 的 ,经 过 美国 政府 加 密 标 准 筛选 后 ,于 
1977 年 被 定 为 联邦 信息 标准 。 

DES 算法 的 积极 意义 在 于 它 是 第 一 个 形成 标准 化 的 密码 系统 。 在 DES 算法 之 前 ， 
保密 通信 双方 使 用 的 密码 算法 都 是 由 双方 秘密 约定 的 ,算法 不 能 公开 ,因此 不 符合 
Kerchoffs 原则 。 在 使 用 DES 标准 化 密码 系统 之 后 ,可 以 在 更 广 的 范围 内 满足 保密 通信 
的 需要 。 

DES 是 一 种 分 组 密码 算法 , 它 将 明文 从 算法 的 一 端 输入 .将 密 文 从 另 一 端 输出 。 由 
于 采用 的 是 对 称 密 钥 , 因 此 加 密 和 人 解密 使 用 相同 的 算法 和 密 钥 ,并 且 加 密 和 解密 算法 是 
公开 的 ,系统 的 安全 性 完全 依赖 于 密 钥 的 保密 。 
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1. DES 的 加 密 过 程 


DES 对 数据 进行 加 密 时 ,首先 将 数据 切 分 成 64 位 的 分 组 (最 后 一 组 如 果 不 足 64 位 ， 
可 以 在 其 后 面 添加 个 0. 使 其 凑 足 64 位 ), 它 使 用 的 密 钥 为 64 位 ,但 有 效 密 钥 长 度 为 56 
位 ( 男 有 8 位 用 于 奇偶 校 验 ,检测 数据 在 传输 过 程 中 是 否 发 生 了 不 可 预料 的 错误 改变 )。 
输出 的 密 钥 分 组 也 是 64 位 ,解密 时 的 过 程 和 加 密 时 的 类 似 , 但 密 钥 的 顺序 正好 相反 。 

(1) 明文 初始 置换 。 首 先 对 明文 分 组 进行 初始 置换 ,以 打 乱 原来 的 次 序 ,DES 有 一 
个 明文 初始 置换 表 , 初 始 置换 就 是 按照 这 个 表 将 明文 的 第 58 位 移 到 第 1 位 ,将 第 50 位 移 
动 到 第 2 位 ,将 第 42 位 移动 到 第 3 位 …… 明文 分 组 ma ,ms，… ,mes 经 过 初始 置换 后 变 成 
于 77156 »77150 9 "°° »7718 »77157 ，77249 9 "°° 97717 o 至 于 为 什么 要 这 么 换 位 , 那 是 算法 设计 者 经 过 充分 
验证 后 得 出 的 最 有 效 的 加 密 方 法 ,并 且 设计 细节 是 保密 的 ,我 们 可 以 不 必 深 究 。 

(2) 密 钥 初始 置换 。 密 钥 的 初始 值 为 64 位 ,DES 算法 规定 其 中 的 第 8、16、24、32、 
40、48、56、64 位 为 奇偶 校 验 位 ,用 于 检测 传输 途中 数据 是 否 发 生 了 改变 。 因 此 先 把 这 8 
位 去 掉 , 密 钥 由 64 位 变 成 56 位 。DES 中 也 有 一 个 密 钥 初始 置换 表 , 密 钥 初 始 置换 就 是 
按照 这 个 表 将 密 钥 的 第 57 位 移动 到 第 1 位 ,将 第 49 位 移动 到 第 2 位 …… 这 样 密 钥 分 组 
di,d;，,… ,ds 经 过 初始 置换 后 变 成 了 ds ,des ，… ,das ,ds3，*… ,di。 

(3) 生成 16 个 48 位 的 子 密 钥 。 首 先 将 56 位 的 密 钥 切 分 成 左右 两 部 分 ,每 部 分 28 
位 分 别 记 为 C。、.D。。 然 后 ,分 别 将 Co。、D。 左 移 一 位 ,得 到 C1、Di ;将 C1、Di 左 移 一 位 ,得 
到 Cs、D;s ;将 C.D; 左 移 两 位 ,得 到 Cs 、D;*…… 从 而 得 到 C1D 一 Ci Dis 。 将 移动 后 的 C， 
和 DD， 重新 合并 得 到 16 个 56 位 的 密 钥 。 再 将 这 16 个 56 位 的 密 钥 按 照 一 个 缩小 换 位 表 
均 缩小 成 48 位 的 密 钥 。 最 终 得 到 16 个 48 位 的 子 密 钥 Ki ~ Ki。。 

(4) 明文 扩展 置换 。 将 初始 置换 后 的 明文 也 切 分 成 左右 两 部 分 ,每 部 分 32 位 , 记 为 
Lo Re。 然后 ,根据 一 个 扩展 置换 表 ( 有 时 也 称 为 下 盒 ,如 表 2.6 所 示 ) ,将 Re 由 32 位 扩 
展 到 48 位 ,而 L。 则 保持 不 变 。 接 着 根据 L。 和 R。 及 下 面 的 公式 分 别 求 六 一 Lis 和 
Ri 一 Rie。 


Li=Ri-! 1 一 1,2,…，16 
R;=L: Df (Ri-1 ,天 ;) 


表 2.6 EE 盒 ( 输 入 32 位 ,输出 48 位 ) 


32 1 2 3 4 5 4 5 6 7 8 9 8 9 10 | 11 


12 13 12 13 14 15 16 移 16 37 18 19 20 21 20 | 21 


22 23 24 25 24 25 26 27 28 29 28 29 30 31 32 | 1 


(5) S 盒 替代 。 即 Li 就 等 于 Ro ,而 为 了 求 Ri ,首先 将 R, 和 密 钥 Ki 进行 异 或 运算 后 得 
到 48 位 的 字符 串 ,把 这 48 位 数 分 成 8 个 6 位 数 ,1 一 6 位 为 BL1],7 一 12 位 为 BL2]……43 一 
48 位 为 B[8]。 将 这 8 个 6 位 数 分 别 输入 到 8 个 S 盒 (SI 一 S8 盒 ) 里 。S 盒 再 取出 广 一 6 
中 的 5b, 和 bs 作为 行 数 ,5b 一 bs 组 成 的 二 进 制 数 表示 列 数 。 两 位 二 进 制 数 转换 为 十 进 制 
数 作 为 行 ,4 位 二 进 制 数 转换 为 十 进 制 数 作为 列 , 在 S 盒 中 选取 该 行 和 列 对 应 的 数字 ,将 
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该 数字 转换 为 4 位 二 进 制 数 作为 输出 。 例 如 , 若 Sl 盒 的 输入 B[1] 为 101100, 则 它 的 首 
尾 两 位 为 10 ,对 应 的 行 数 是 2, 中 间 四 位 是 0110, 对 应 的 列 数 是 6, 查 如 表 2.7 所 示 的 Sl 
盒 , 可 发 现 第 2 行 第 6 列 的 数字 是 2. 则 4 位 输出 是 0010。 注 意 : S 盒 的 行 和 列 序号 都 是 
从 0 开始 的 。 

表 2.7 S1 盒 


0 1 2 3 4 5 6 b4 8 9 10 b 12 13 14 15 


0 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 La 


Yl 0 15 到 4 14 2 13 1 10 6 12 11 全 5 3 8 


2 4 1 14 8 13 6 2 11 15 | 12 9 7 3 10 5 0 


3 15 12 8 2 4 9 和 和 5 11 3 14 10 0 6 13 


(6) P 盒 置换 。 将 8 个 S 盒 输出 的 32 位 数 进行 P 盒 置换 ,该 置换 把 每 个 输入 位 移动 
到 输出 位 ,例如 ,把 第 21 位 移动 到 第 4 位 处 ,第 4 位 移动 到 第 31 位 处 。 最 后 ,将 P 盒 置 换 
的 结果 再 与 L。 进行 异 或 运算 。 所 得 结果 即 为 R) 。 

(7) 末 置 换 。 在 对 明文 左右 部 分 L。、R。 进行 完 依赖 于 密 钥 的 16 轮 处 理 后 ,得 到 Ri 
和 Li ,应 注意 在 DES 的 最 后 一 轮 , 左 半 部 分 和 右 半 部 分 并 未 交换 ,而 是 将 其 合并 为 
RieLi ,形成 一 个 分 组 作为 末 置 换 的 输入 ,依据 DES 的 末 置 换 表 将 输入 打 乱 顺序 ,如 将 第 
40 位 移动 到 第 1 位 ,第 8 位 移动 到 第 2 位 …… 

(8) DES 的 解密 。DES 的 解密 算法 和 加 密 算法 相同 ,只 不 过 第 一 次 迭代 时 用 子 密 钥 
Ko, 第 2 次 用 Kis*…… 第 16 次 用 Ki .也 就 是 仍然 按照 加 密 的 过 程 进 行 以 上 步骤 的 运算 ， 
只 不 过 把 子 密 钥 的 顺序 倒 过 来 而 已 。 


2. DES 加 密 的 特点 


从 DES 的 加 密 过 程 中 不 难 发 现 ,DES 综合 运用 了 许多 次 置换 和 替代 技术 ,从 而 达到 
了 混淆 和 扩散 的 特点 ;其 次 它 将 大 的 明文 分 组 ,再 分 成 了 左右 两 部 分 小 的 分 组 ,分 别 完成 
各 个 小 段 的 加 密 置 换 ; 并 且 采 用 了 乘积 密码 技术 ,将 R。 加 密 后 的 所 得 结果 R, 再 作为 L， 
的 输入 进行 加 密 。 

自从 DES 问世 以 来 ,有 人 对 它 进 行 了 各 种 各 样 的 研究 分 析 ,并 未 发 现 其 算法 上 的 破 
绽 。 在 过 去 相当 长 的 一 段 时 间 里 , 找 不 到 比 穷 举 搜索 更 有 效 的 方法 攻击 DES ,而 在 过 去 
是 没有 能 力 对 56 位 的 密 钥 进 行 穷 举 搜索 的 ,因而 在 过 去 DES 是 安全 的 。 但 现在 由 于 计 
算 机 技术 的 发 展 ,56 位 的 密 钥 已 经 经 不 起 穷 举 攻击 了 。 为 此 ,人 们 利用 两 个 密 钥 进 行 3 
次 DES 加 密 , 这 称 为 三 重 DES, 它 的 密 钥 相当 于 有 112 位 ,目前 三 重 DES 依然 是 安全 的 。 
但 DES 已 逐渐 被 更 为 安全 的 高 级 加 密 标 准 AES 算法 取代 ,AES 的 密 钥 长 度 至 少 有 
128 位 。 


3. DES 算法 的 变形 
为 了 提高 DES 算法 的 安全 性 ,可 以 将 DES 算法 在 多 密 钥 下 多 重 使 用 ,如 双重 DES、 
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三 重 DES(3DES) 等 DES 算法 的 变形 。 

双重 DES 是 使 用 两 个 密 钥 对 明文 进行 两 次 DES 加 密 。 双 重 DES 有 两 个 密 钥 K! 和 
Ks 。 首 先 对 明文 用 Ki 进行 DES 加 密 ,得 到 密 文 后 再 对 该 密 文 用 另 一 密 钥 K。 加 密 得 到 
最 终 密 文 。 

而 三 重 DES 仍然 使 用 两 个 密 钥 K 和 K,;。 首 先 用 密 钥 K! 加 密 明 文 块 ,得 到 
Ex,(P) ;然后 用 密 钥 K; 解密 上 面 的 密 文 ,得 到 Dk, (Ex, (P)) ,由 于 是 用 另 一 个 密 钥 进行 
解密 ,实际 上 相当 于 又 加 密 了 一 次 :最 后 用 密 钥 K, 再 次 加 密 上 一 步 的 输出 ,得 到 
Ex (Dk, (Exk,〈P))) ,整个 过 程 如 图 2.6 所 示 。 


2.6 利用 两 个 密 钥 的 三 重 DES 


为 什么 三 重 DES 只 使 用 两 个 密 钥 而 不 是 3 个 呢 ? 这 是 因为 两 个 密 钥 的 总 长 度 已 经 
达到 112 位 ,已 经 足够 抵抗 穷 举 搜索 攻击 了 ,如 果 使 用 3 个 密 钥 , 则 势必 增加 不 必要 的 数 
据 传 输 。 在 进行 加 密 时 ,采用 E-D-E( 加 密 -解密 -加 密 ) 而 不 是 E-E-E 的 原因 是 为 了 与 普 
通 DES 系统 兼容 ,如 果 三 重 DES 使 用 的 两 个 密 钥 Ki: 一 K*, 则 三 重 DES 就 相当 于 普通 
DES 算法 ,因此 ,对 于 3DES 与 仅 支持 普通 DES 算法 的 应 用 程序 进行 通信 ,可 设置 
Ki=K;。 


224 其 他 分 组 密码 体制 


1. 高 级 加 密 标准 


高 级 加 密 标准 (Advanced Encryption Standard, AES) 是 美国 国家 标准 与 技术 研究 院 
(NIST) 旨 在 取代 DES 的 加 密 标 准 。2001 年 ,NIST 选中 了 Rijmen 设计 的 Rijndael 作为 
AES 标准 。AES 是 一 个 非 保密 的 .公开 技术 细节 的 、 可 免费 使 用 的 分 组 密码 算法 。 它 的 
设计 策略 是 宽 轨迹 策略 ,这 是 针对 差分 分 析 和 线性 分 析 而 提出 的 。AES 限定 了 明文 分 组 
长 度 为 128 位 ,而 密 钥 长 度 可 以 为 128、192、256 位 ,相应 的 迭代 轮 数 为 10 轮 、.12 轮 和 14 
轮 。 由 于 AES 的 密 钥 长 度 达到 128 位 ,因此 其 密 钥 空 间 达 到 22 ,能 有 效 地 抵抗 穷 举 
攻击 。 


2. IDEA 


IDEA(International Data Encryption Algorithm) 是 最 强大 的 数据 加 密 标 准 之 一 ,由 
来 学 嘉 在 1990 年 提出 。 尽 管 IDEA 很 强大 ,但 并 不 像 DES 和 AES 那么 普及 ,主要 原因 


38 


Hsin 


是 IDEA 受 专 利 保护 ,要 先 获得 许可 证 之 后 才能 在 商业 应 用 程序 中 使 用 。IDEA 的 分 组 
长 度 是 64 位 , 密 钥 长 度 是 128 位 ,同一 算法 既 可 用 于 加 密 也 可 用 于 解密 ,该 算法 的 整体 
设计 非常 有 规律 ,很 适合 利用 VLSI( 超 大 规模 集成 电路 实现 。 


3. 轻 量 级 分 组 密码 算法 


近年 来 ,由 于 物 联 网 的 出 现 和 应 用 , 物 联网 的 安全 问题 逐渐 被 人 们 重视 ,但 因为 物 联 
网 中 的 传感器 节点 、 电 子 标签 等 微型 计算 设备 的 运算 和 存储 能 力 都 非常 弱 , 不 能 使 用 资 
源 消耗 较 大 的 传统 密码 算法 。 在 这 种 情况 下 ,适应 资源 约束 的 很 多 轻 量 级 分 组 加 密 算法 
近年 来 被 提出 。 

轻 量 级 分 组 密码 要 求 做 到 较 小 的 分 组 长 度 和 密 钥 长 度 。 当 明文 分 组 长 度 为 n 位 时 ， 
至 少 需 要 2" 个 明 密 文 对 才 可 破解 密码 。 轻 量 级 分 组 密码 算法 要 求 可 以 用 软件 与 硬件 来 
实现 。 由 于 轻 量 级 分 组 密码 设计 当初 主要 是 为 了 克服 资源 受 限 的 问题 ,因此 轻 量 级 分 组 
密码 算法 在 资源 受 限 的 硬件 上 实现 更 具有 价值 。 

目前 ,典型 的 轻 量 级 分 组 密码 算法 有 : A. Bogdanov 于 2007 年 提出 的 PRESENT 算 
法 ,日 本 Shibutani 等 设计 的 Piccolo 算法 , 李 浪 等 提出 的 一 种 高 安全 性 的 轻 量 级 分 组 密 
码 算法 Magpie 等 。 


225 流 密码 


流 密码 将 明文 消息 按 字 符 逐 位 加 密 , 它 采用 密 钥 流 生成 器 (KG), 从 种 子 密 钥 生 成 一 
串 密 钥 流 字符 来 加 密 信息 ,每 个 明文 字母 被 密 钥 流 中 不 同 的 密 钥 字符 加 密 , 如 图 2.7 
所 示 。 


种 子 密 铀 4 种 子 密 钢 4 
密 钥 流 生成 器 密 角 流 生成 器 
窗 角 4 密 钥 
明文 流 m | 0) 密 文 流 6 六 Oo | 明文 流 m 


2.7 流 密码 体制 模型 


1949 年 香农 证 明了 只 有 "一 次 一 密 ” 的 密码 体制 是 绝对 安全 的 ,所 谓 “ 一 次 一 密 ” 是 指 
每 个 明文 字母 每 次 都 用 一 个 真正 随机 产生 的 密 钥 字母 加 密 , 即 每 个 密 钥 字母 的 出 现 无 任 
何 规律 。 这 给 流 密 码 技术 的 研究 以 强大 的 支持 , 流 密码 设计 的 思想 就 是 模拟 “一 次 一 密 ” 
的 密码 体制 ,或 者 说 “一 次 一 密 ” 的 密码 体制 是 流 密码 的 锥 形 。 如 果 流 密码 使 用 的 是 真正 
随机 产生 的 ,与 明文 流 长 度 相同 或 更 长 的 密 钥 流 , 那 么 此 时 的 流 密 码 就 是 “一 次 一 密 ” 的 
密码 体制 ,是 无 法 破解 的 。 
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但 是 ,在 实际 应 用 中 的 密 钥 流 都 是 用 有 限 存 储 和 有 限 复杂 逻辑 的 电路 来 产生 的 ,此 
时 的 密 钥 流 生成 器 只 具有 有 限 多 个 状态 ,这 样 , 密 钥 流产 生 器 迟早 是 要 回 到 初始 状态 而 
使 其 状态 呈现 出 一 定 长 度 的 周期 ,因此 它 的 输出 也 只 能 是 周期 序列 。 因 而 ,实际 的 流 密 
码 是 不 可 能 实现 “一 次 一 密 ” 密 码 体制 的 。 

但 是 ,如 果 密 钥 流产 生 器 产生 的 密 钥 流 周 期 足够 长 ,并且 其 随机 性 又 足够 好 ,就 可 以 
近似 地 实现 人 们 所 追求 的 理想 的 “一 次 一 密 ” 的 密码 体制 。 

因此 , 流 密码 的 强度 完全 依赖 于 密 钥 流产 生 器 生成 序列 的 随机 性 和 不 可 预测 性 ,其 
核心 问题 是 密 钥 流 生成 器 的 设计 。 保 持 收发 两 端 密 钥 的 精确 同步 是 实现 可 靠 解密 的 
关键 。 


1. 同步 流 密 码 


同步 流 密 码 是 指 密 钥 流 的 产生 独立 于 明文 流 和 密 文 流 的 流 密码 。 如 图 2. 8 所 示 , 同 
步 流 密码 各 符号 之 间 是 真正 独立 的 ,因此 ,一 个 字符 传播 错误 只 影响 一 个 符号 ,不 会 影响 
后 继 的 符号 。 

下 面 通过 对 维 吉 尼 亚 密码 进行 改进 定义 一 个 同步 流 密 码 。 设 一 个 维 吉 尼 亚 密码 算 
法 的 密 钥 & 一 cipher, 则 密 钥 长 度 d=6, 将 该 密 钥 作为 流 密码 的 种 子 密 钥 , 密 钥 流 生成 器 
生成 密 钥 流 的 规则 为 : 第 一 次 用 该 密 钥 加 密 明 文 , 以 后 每 次 将 该 密 钥 每 位 循环 右 移 一 位 ， 
得 到 密 钥 流 。 

设 种 子 密 钥 二 cipher(2,8,15,7,4,17), 则 在 种 子 密 钥 控制 下 产生 的 密 钥 流 

EA sf, ly 0 1 .Dy 1 yy pr oy hv ee 

将 明文 序列 的 每 位 与 密 钥 流 序列 的 每 位 进行 相 加 取 余 (mod 26) 运 算 即 得 到 密 文 。 

可 以 看 出 ,这 不 是 一 个 完善 的 流 密码 ,因为 密 钥 流 并 不 是 随机 序列 ,而 且 还 会 发 生 周 
期 性 的 变化 ,但 与 普通 的 维 吉 尼 亚 密码 相 比 ,其 密 钥 周期 是 原来 的 d 倍 , 因 此 破解 难度 
增 大 。 

同步 要 求 : 在 同步 流 密码 中 ,消息 的 发 送 者 和 接收 者 必须 同步 才能 做 到 正确 地 加 密 
解密 , 即 双方 使 用 相同 的 密 钥 ,并 用 其 对 同一 位 置 进行 操作 。 一 旦 由 于 密 文字 符 在 传输 
过 程 中 被 插入 或 删除 而 破坏 了 这 种 同步 性 ,那么 解密 工作 将 失败 。 因 此 ,最 好 对 接收 到 
的 密 文 的 完整 性 先进 行 校 验 。 


2. 自 同步 流 密码 (异步 流 密码 ) 


与 同步 流 密码 相反 , 自 同步 流 密码 密 钥 流 的 产生 与 已 经 产生 的 一 定数 量 的 密 文 有 
关 。 通 常 第 ; 个 密 钥 字符 的 产生 不 仅 与 主 密 钥 有 关 ,而 且 与 前 面 已 经 产生 的 若干 个 密 文 
字符 有 关 。 如 图 2. 9 所 示 。 自 同步 流 密码 是 一 种 有 记忆 变换 的 流 密码 。 

对 维 吉 尼 亚 密码 稍 作 改进 就 能 得 到 一 个 自 同步 流 密 码 。 设 维 吉 尼 亚 密码 的 密 钥 为 
cipher, 将 该 密 钥 作为 流 密码 的 种 子 密 钥 , 密 钥 流 产生 器 产生 密 钥 流 的 规则 为 : 首先 用 该 
密 钥 加 密 明 文 , 该 密 钥 用 完 后 就 使 用 密 文 作为 密 钥 流 ,再 用 密 钥 流 加 密 明 文 。 此 时 密 文 
流 不 仅 与 密 钥 有 关 ,还 与 密 文 有 关 , 因 此 属于 自 同步 流 密码 。 例 如 : 
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| 种 子 密 钥 k 种 子 密 负 
密 钥 流 生成 器 密 钥 流 生成 器 ” 一 一 
密 钥 流 密 钥 流 
2FAR) zhhkc) 
明文 m; Elm) 密 文 c; 


图 2.8 同步 流 密码 


明文 : 让 
密 钥 : ciplh e FF 
密 文 : YD KE 多 mj vv bw ee jh fF m a 


密 钥 流 : c i p h ee rvprx zz mj vc bw 

解密 时 根据 种 子 密 钥 可 以 把 先 收 到 的 密 文 恢复 成 明文 ,然后 再 使 用 已 收 到 的 密 文 作 
为 密 钥 流 来 解密 接 下 来 收 到 的 密 文 。 

对 于 自 同步 流 密 码 , 某 一 个 符号 的 传输 错误 将 影响 到 后 面 的 符号 的 解密 ,例如 ,如 果 
明文 thisis 传输 错误 , 则 密 钥 流 也 会 跟着 发 生 改 变 , 也 就 是 说 , 自 同步 流 密码 具有 错误 传 
播 现 象 。 


3. 常见 的 几 种 流 密 码 体制 


由 于 流 密码 长 度 灵活 可 变 , 且 具 有 运算 速度 快 、 密 文 传输 中 没有 差错 或 只 有 有 限 的 
错误 传播 等 优点 ,使 基于 伪 随 机 序列 的 流 密码 (例如 通过 线性 反馈 移 位 寄存 器 制造 伪 随 
机 序列 ) 成 为 当今 最 通用 的 密码 系统 。 目 前 常见 的 二 进 制 流 密码 体制 有 RC4、SEAL 
和 A5。 

RC4 是 一 个 可 变 密 钥 长 度 、 面 向 字 节 操作 的 流 密码 ,RC4 在 Internet 通信 和 无 线 通 
信和 领域 都 有 广泛 应 用 ,如 它 在 SSL 协议 中 与 DES 算法 一 起 用 来 加 密 传输 的 数据 ,并 且 是 
无 线 局 域 网 标准 IEEE 802. 11 中 WEP 协议 的 一 部 分 。RC4 密码 的 密 钥 长 度 可 变 ,其 长 
度 可 以 是 8 一 2048 位 ,为 安全 起 见 ,至少 应 使 用 128 位 的 密 钥 。 

SEAL(Software-Optimized Encryption Algorithm) 流 密码 体制 是 IBM 公司 设计 的 
易于 用 软件 实现 的 流 密码 , 它 不 是 传统 意义 的 基于 线性 反馈 移 位 寄存 器 的 流 密码 ,而 是 
一 个 基于 伪 随 机 函数 簇 (PRF) 的 流 密 码 。 


23 密码 学 的 数学 基础 


由 于 公 钥 密码 体制 都 是 基于 某 种 数学 难题 的 ,下 面 先 学 习 一 些 与 密码 学 有 关 的 数论 
知识 。 
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231 数论 的 基本 概念 
1. 整除 


设 aww 是 两 个 整数 ,其 中 65 隆 0, 如 果 存 在 男 一 个 整数 m 使 得 等 式 a 二 mXwb 成 立 , 则 
称 5 整除 a, 记 为 6 | a, 并 称 b 是 a 的 除数 (或 因子 ),a 为 2 的 倍数 。 整 除 具 有 以 下 性 质 : 

She 

(2) 车 a | 1, 则 a= 土 1; 车 a | 0 且 0 | a; 则 4a= 土 6。 

(3) 对 任 一 0(0 和 关 0) 有 0 | 0。 

(4) 若 0 | g,0 17, 则 对 任意 整数 浆 妈 有 0 | (mg 十 nh)。 


2. 素数 和 合 数 


一 个 大 于 1 且 只 能 被 1 和 它 本 身 整除 的 整数 称 为 素数 (或 质数 ) ,否则 称 为 合 数 。 例 
如 ,2、3、5、7、11 就 是 素数 。 可 以 看 出 , 除 2 之 外 的 所 有 素数 必定 都 是 奇数 。 

对 于 素数 ,有 以 下 定理 。 

【定理 2.1】 任 一 正 整 数 a 都 能 分 解 成 素数 乘积 的 形式 ,并 且 此 表示 是 唯一 的 。 

a=pi" pe pr” 

其 中 ,pi 二 ps 二 … 二 p, 是 素数 ,a; 之 0 (i 二 1,2,…,1)。 例 如 91==7X13,11011==7X11?X 
13。 这 一 性 质 称 为 整数 分 解 的 唯一 性 定理 。 

【定理 2.2】 若 是 素数 ,p | ab, 则 p 1a 或 p 1b。 

如 果 整 数 a 能 整除 整数 ai ,as,… ,a,, 则 称 a 为 这 几 个 整数 的 公 因 子 。 这 几 个 整数 可 
能 有 多 个 公 因子 ,其 中 最 大 的 公 因 子 叫 最 大 公 因子 (Greatest Common Divisor,GCD) , 记 
作 gcd(al ,az ,…,an) 或 (aaz ,as); 如 果 这 几 个 整数 的 最 大 公 因 子 是 1, 则 称 这 几 个 整 
数 互 为 素数 ,简称 互 素 , 记 为 gcd(al ,az,…',av) 一 1。 

在 互 素 的 正 整 数 中 ,不 一 定 有 素数 。 例 如 gcd (25,36) 二 1, 但 25 和 36 都 不 是 素数 而 
是 合 数 。 

【定理 2.3】 若 p 是 素数 ,a 是 任意 整数 , 则 有 p | a 或 gcd(p,a) 二 1, 即 素数 与 任意 
数 之 间 只 可 能 是 整除 或 互 素 的 关系 。 

【定理 2.4】 设 ab.c 是 任意 不 全 为 0 的 整数 , 且 4a 二 qb 十 c, 其 中 g 是 整数 , 则 有 

gcd(a.b)—=gcd(b,c) 
或 写成 
gcd(a.b)=gcd(b,a mod b) 
即 被 除数 和 除数 的 最 大 公 因 子 与 除数 和 余数 的 最 大 公 因 子 相 同 。 例 如 : 
gcd(18,12) 一 gcd(12.6) 一 gcd(6,0) 一 6 
gcd(11,10) 一 gcd(10,1) 一 gcd(1,0) 一 1 
该 定理 是 欧 几 里 得 (Euclid) 算 法 ( 轧 转 相 除 法 ) 求 最 大 公 因 子 的 理论 基础 。 
【定理 2.5】 任 给 整数 < 字 00, 则 存在 两 个 整数 mn. 使 得 
mat+nb=gcd(a.b) 
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例如 ,车 a==3,6==2, 则 gcd(a,6)==1, 存 在 m= 二 1,n 二 一 1, 使 得 ma 十 nb 二 gcd(a,b)。 

证 明 : 因为 gcd(a,b)1a,gcd(a,0)15, 根 据 整 除 的 性 质 有 gcd(a,6)| ma 十 nb, 因 此 存 
在 两 个 整数 mn, 使 得 ma 十 nb 二 gcd(a.0b)。 

由 定理 2.5, 显 然 有 推论 : a 和 2 的 公 因 数 是 gcd(a.5) 的 因数 。 

对 于 合 数 ,有 以 下 定理 。 

【定理 2.6】 若 a 是 合 数 , 则 a 有 一 个 因数 d 满足 1<d<a'®。 

【定理 2.7】 若 a 是 合 数 , 则 a 必 有 一 个 素 因 数 小 于 或 等 于 a'。 

该 定理 为 公元 前 3 世纪 希腊 数学 家 厄 拉 多 塞 (Eratosthenes) 提 出 的 构造 素数 表 方法 
奠定 了 理论 基础 ,后 人 称 它 为 厄 拉 多 塞 筛 法 。 


3. 模 运 算 与 同 余 


设 n 是 一 个 正 整 数 ,a 是 整数 ,如 果 用 nn 除 a, 得 商 为 g, 余 数 为 7, 即 一 owz 十 r,0 委 r<m， 
则 余数 /可 以 用 a mod 表示 , 即 r==a mod n; 商 g 可 表示 为 gq 二 la/n J 其 中 ,Lx 康 示 小 
于 或 等 于 z 的 最 大 整数 。 

(1) 同 余 : 如 果 a mod n= 二 b mod nn, 则 称 两 个 整数 a 和 2 模 n 同 余 , 记 为 

a 三 b (mod n) 

其 中 三 是 同 余 运 算 符 ,注意 它 和 二 的 区 别 : 

如 果 a 二 nn, 此 时 a 三 b (mod nn) 又 可 写成 a==b (mod nn)。 

对 于 三 运算 符 , 若 4 三 6 (mod n), 则 有 : a 一 6 三 0 (mod n),a 一 c 三 (6 一 c) (mod n)。 

而 对 于 = 二 运算 符 , 关 4 三 5 (mod n), 仅 有 a 一 6 二 0 (mod n)。 例 如 ,a、bvn 分别 取 11、 


(2) 同 余 有 以 下 性 质 : 

Q@ a 三 b (mod n) 成 立 的 充 要 条 件 是 nn | (a 一 b). 即 a 三 b (mod nn) 合 n| (a 一 0)。 

@ 自 反 性 : 如 a 二 a (mod n)。 

@ 对 称 性 : 若 sa 三 (mod m), 则 4b 寺 a (mod m)。 

@ 传递 性 : 若 a 三 6b (mod m) ,4 三 c (mod m), 则 a 三 c (mod m)。 

可 见 , 同 余 关系 是 等 价 关 系 ( 在 关系 运算 中 ,如 果 一 个 关系 具有 自 反 性 、 对 称 性 和 传 
递 性 , 则 称 它 为 等 价 关 系 ) 。 

【定理 2.8】 若 =” (mod mm) ,c 三 d (mod m), 则 有 : 

(1) azx 十 cy 三 bx 十 dy (mod m) ,其 中 xz 和 > 为 任意 整数 。 

(2) acbd (mod m), 

(3) an 三 bn (mod m) ,其 中 2 二 0。 例 如 2=5 (mod 3), 则 2X2 三 5 X2 (mod 3)。 

(4) a" 夺 "(mod m) ,其 中 nn 二 0。 例如 2 三 5 (mod 3), 则 2: 志 5? (mod 3)。 

(5) f(a) 三 f(5) (mod m) ,其 中 f(x) 为 任 给 的 一 个 整 系数 多 项 式 。 

求 余 运算 a mod n 将 整数 映射 到 非 负 整数 的 集合 Z, 二 10,1,…,n 一 1) , 称 为 求 余 运 
算 ,在 这 个 集合 上 的 运算 称 为 模 运算 。 称 Z, 为 模 的 同 余 类 集合 。 其 上 的 模 运算 有 以 
下 性 质 : 

(1) [Ca mod 1)+(b mod 2)] mod 2 一 (ce 十 0) mod n。 
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(2) [(a mod n)—(b mod 2)] mod n=(a—b) mod n, 

(3) [(a mod n)X(b mod 2)] mod n=(aXb) modn, 

即 同 余 类 可 看 成 是 特殊 的 “ 数 ”, 可 以 加 、 减 和 乘 ,但 不 能 除 。 利 用 性 质 (3) 还 可 将 大 
数 的 模 运 算 分 解 成 两 个 小 数 的 模 运算 ,这 是 对 大 数 求 模 的 一 种 常用 方法 。 

【 例 2.5】 证 明 : 17 | 19% 一 1。 

解 : 因为 191%? 寺 (2 十 17)*%(mod 17) 一 2 (mod 17) ,而 2 一 24x250 一 162350 ,所 以 
19%==16*” 二 (一 1)’=] (mod 17) 。 

另外 , 设 m 是 一 个 正 整数 ,有 : 

(1) 车 an 三 bn(mod m) ,gcd(m,n) 二 1, 则 a 三 b(mod m)。 

(2) 若 ac 夺 bc(mod m),d 二 gcd(c,m), 则 a/d 夺 b/d(mod m)。 例 如 ,42 圭 7 (mod 5)， 
gcd(7,5) 王 1, 所 以 6 夺 ] (mod 5)。 

(3) 若 ac 夺 bd (mod m) ,a 三 b(mod m) ,gcd(a 72) 一 1. 则 c=CCmod m)。 

(4) 存在 c, 使 得 ac 圭 1(mod mm), 当 且 仅 当 gcd(a,m) 二 1。 

(5) a 三 b(mod m) ,如 果 4 是 m 的 因子 , 则 a 寺 b(mod d)。 


4. 逆 变 换 


(1) 加 法 逆 元 : 对 每 一 个 wa, 存 在 一 个 0, 使 得 ec 十 0 一 0 (mod 2) , 则 称 5 为 a 对 模 n 的 
加 法 逆 元 ,例如 (5 十 3) mod 4 二 0, 就 称 5 是 3 对 模 4 的 加 法 逆 元 。 

(2) 乘法 道 元 : 着 三 1,gcd(a,m) 二 1, 则 存在 cc 使 得 ca 三 1(mod m) ,把 满足 这 样 条 
件 的 c 称 为 a 对 模 m 的 乘法 道 元 , 记 作 ac -CCmod m)。 若 a€2;, 则 a 对 模 m 的 逆 记 作 
a ，。 例 如 5X3 mod 7 二 1, 就 称 5 是 3 对 模 7 的 乘法 逆 元 。 并 非 每 一 个 数 在 模 nn 运算 时 
都 有 乘法 逆 元 , 求 乘法 逆 元 要 用 到 2. 3. 3 节 介 绍 的 扩展 的 欧 几 里 得 算法 。 


5. 欧 拉 函 数 


定义 : 设 n 是 一 个 正 整数 ,小 于 nn 且 与 互 素 的 正 整 数 的 个 数 称 为 n 的 欧 拉 函数 , 记 
为 $n)。 例 如 ,小 于 6 且 与 6 互 素 的 数 只 有 1 和 5, 因 此 %(6) 一 2。 

欧 拉 函数 的 性 质 ( 求 法 ) 如 下 : 

(1) 若 n 是 素数 , 则 $8(n) 二 n 一 1。 

(2) 若 n 二 pq,p.q 是 素数 且 p 隆 q, 则 $C(n) 二 (p 一 1)(g 一 1)。 

(3) 车 n 二 ph p22… ps ,其 中 pi,p:，… ,p; 为 素数 ,al,as，…,a, 为 正 整 数 , 则 有 

#9 一 (1 一 识 儿 一 计 )"(1 一 二 ) 

例如 ,g%(6) 一 (3 一 1)X (2 一 1) 一 2;g(7) 一 7 一 1 一 63g%(8) 一 8X(1 一 1/2) =4;$(20) 

20X(1—1/5)X (1—1/2)=8;$(49)=49X (1—1/7) 一 42。 


232 欧 拉 定 理 与 费 马 定理 


数论 的 四 大 定理 是 指 欧 拉 定 理 、 费 马 定理 .威尔逊 定理 和 中 国 剩余 定理 ,它们 在 密码 
学 中 都 有 重要 应 用 ,本 节 主 要 阐述 欧 拉 定理 和 费 马 定理 。 
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1. 欧 拉 (Euler) 定 理 


欧 拉 定 理 ; 车 a 和 nn 都 是 正 整数 ,有 目 gcd (a,n) 二 1, 则 有 a*”” modn 一 1。 

欧 拉 定理 的 应 用 : 求解 3 mod 11。 

解 : 因为 gcd (3,11) 一 1, 则 有 3”mod 11 一 1 (因为 %11) 一 10) 。 

所 以 31xl mod 11 三 1 三 1,31%+2 mod 11=3? mod 11=9。 

【 例 2.6】 求 78 的 后 3 位 数字 。 

解 : 显然 , 求 后 3 位 数字 就 是 求 该 数 mod 1000 的 结果 。 因 为 $(1000) 二 1000(1 一 
1/2) (1 一 1/5) 二 400, 而 73 二 (71%)?7; 圭 7; 三 343 (mod 1000) ,所 以 后 3 位 数字 是 343 。 

可 见 , 在 本 例 中 ,可 以 将 指数 从 803 改 成 3, 因 为 803 三 3 (mod $(1000))。 

推论 : 车 a 与 n 互 素 , 则 4a 与 a*"”7! 互 为 乘法 逆 元 。 

利用 该 推论 可 求 一 些 简单 数 的 乘法 逆 元 ,例如 

2-1 mod 15 一 2415)-1 mod 15 一 28-1 mod 15 一 27 mod 15 一 22X24 mod 15 一 22 mod 15 一 8 

4-1 mod 15 一 4 mod 15 一 (42)3X4 mod 15 一 163X4 mod 15 一 4 

推论 : 车 a 和 7 都 是 正 整 数 , 且 gcd (a,n) = 二 1, 则 有 a*t? 三 1 (mod n), 因 此 有 


atsW +1=a (mod n).。 


2. 费 马 (Fermat) 定 理 


费 马 定理 : 设 a 和 pp 都 为 正 整 数 , 且 p 是 素数 ,车 gcd (a,p) 二 1, 则 a?! 三 1] (mod p)。 
也 可 写成 设 p 是 素数 ,a 是 任 一 正 整 数 , 则 a* 三 a (mod p)。 

费 马 定理 的 应 用 : 利用 费 马 定理 计算 75 mod 31。 

因为 .78 mod 31==1; 所 以 7*x* mod 31==1,75% mod 31 一 72 一 75X75X75X75 一 
5 mod 31。 

由 此 可 见 ,7;? 志 7? (mod 31) 。 

因此 有 推论 : a* 寺 a*™* 了 (mod p)。 

由 此 ,计算 某 个 数 的 & 次 方 模 p, 可 以 首先 计算 k mod (p 一 1), 例 如 53 三 3 (mod 
10) , 即 可 推出 7%3 志 7; (mod 11)。 

注意 : 当 ) 为 素数 时 , 欧 拉 定 理 即 转化 为 费 马 定理 ,该 费 马 定理 又 叫 作 费 马 小 定理 。 
通过 费 马 定理 可 发 现 : a? ?与 a 互 为 乘法 逆 元 。 


3. 威尔逊 定理 
若 p 为 素数 , 则 p 可 整除 (p 一 1) 1 十 1, 该 定理 给 出 了 判定 自然 数 为 素数 的 充 要 条 件 。 
4. 中 国 剩余 定理 


已 知 某 个 数 关于 一 些 两 两 互 素 的 数 的 同 余 类 集 , 就 可 重 构 这 个 数 。 如 某 个 数 模 3 余 
2. 模 5 余 3、 模 7 余 2, 使 用 中 国 剩余 定理 就 可 求 出 该 数 是 23。 中 国 剩余 定理 的 思想 在 
密 钥 分 割 中 很 有 用 ,如 假设 密 钥 是 23, 就 可 以 将 这 个 密 钥 分 解 成 模 数 、 余 数 的 集合 ,如 
{(3,2),(5,3),(7,2)) ,它们 分 别 相当 于 密 钥 的 一 部 分 。 
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233 欧 几 里 得 算法 


欧 几 里 得 (Euclid) 算 法 是 数论 中 的 一 项 基本 技术 。 基 本 的 欧 几 里 得 算法 可 求 两 个 正 
整数 的 最 大 公 因 子 (GCD) ,这 时 也 叫 轧 转 相 除法 ,而 扩展 的 欧 几 里 得 算法 可 用 来 求 出 其 
中 一 个 数 关于 另 一 个 数 模 的 乘法 逆 元 。 


1. 求 最 大 公 因 子 


以 下 是 欧 几 里 得 算法 的 具体 描述 。 
对 于 整数 a、b(a 二 6) ,如果 要 求 gcd(Ca,o) , 则 步骤 如 下 : 
(1) 用 a mod2 得 余数 c。 
(2) 若 c 不 为 0, 将 0 作为 wa,c 作为 5 ,重复 步骤 (1),(2) ;否则 转 (3)。 
(3) 如 果 c 等 于 0, 则 退出 ,5 即 是 所 求 的 gcdCa ,0) 。 
【 例 2.7】 求 gcd(1970,1066) 。 
解 : 1970 二 1X1066 十 904,gcd(1066,904) 

1066 一 1X904 十 162,gcd(904,162) 

904 一 5X162 十 94,gcd(162,94) 

162 一 1X94 十 68,gcd(94,68) 

94 一 1X68 十 26,gcd(68,26) 

68 一 2X26 十 16,gcd(26,16) 

26 二 1X16 十 10 ,gcd(16,10) 

16 王 1X10 十 6,gcd(10,6) 

10 王 1X6 十 4,gcd(6,4) 

6 一 1X4 十 2,gcd(4,2) 

4 一 2X2 十 0,c 等 于 0, 返 回 0 一 2 
因此 gcd(1970,1066) 一 2。 


2. 求 乘法 逆 元 


在 仿 射 密码 中 已 经 遇 到 需要 求 乘法 逆 元 的 情况 了 ,按照 2. 3.1 节 中 的 定理 2.5, 任 给 

整数 n 二 a 二 0, 则 存在 两 个 整数 x、y( 可 为 负数 ) 使 得 
Xatyn=gcd (a,.n) 

当 gcd (a,n) 二 1 时 , 即 有 za 十 yn 二 1。 

因此 有 za 一 1 二 一 yn, 则 有 (xa 一 1) mod n= 二 0, 即 za mod 2 一 1。 

即 存 在 一 个 zx, 使 得 az 寺 1 (mod n)。 显 然 z 就 是 a 的 乘法 逆 元 。 

求 乘法 逆 元 可 通过 扩展 的 欧 几 里 得 算法 (extended Euclid) 实 现 ,对 该 算法 的 描述 
如 下 : 

(1) 定义 几 个 变量 Xi 、Xs、X; Yi YY 和 Q, 然 后 给 它们 赋 初 值 , 令 : (Xi ,Xs ,Xs) 
等 于 (1,0,n);(Y1,Ys,Ys) 等 于 (0,1,a); 令 Q 值 为 空 。 将 它们 写 到 表格 的 第 一 行 。 


46 


Husts tin 


(2) 令 Q=[LXs/Ys 小 根据 得 到 的 Q 计 算 (Xi 一 QYi ,Xs 一 QY, ,X 一 QY: ) ,将 计算 结 
果 暂 存 到 Ti .Ts .Ts 。 

(3) 重新 赋值 ,将 原来 (Yi ,Ys:,Ys ) 的 值 赋 给 新 的 (Xi ,X:,Xs), 即 (Xi,Xs，,X:)< 
(Zi ,ys ,Ys) ,将 (Ti,T: ,Ts) 的 值 赋 给 新 的 (Yi ,ys ,Y,) 

(4) 重复 第 (2)、(3) 步 ,直到 Ys 等 于 1 或 0。 如 果 YY; 二 1, 返 回 最 大 公 因 子 的 值 为 
Ys ,乘法 逆 元 的 值 为 Ys 。 如 果 Ys: 二 0, 则 表示 无 乘法 逆 元 ,最 大 公 因 子 的 值 为 Xs 。 

【 例 2.8】 用 扩展 的 欧 几 里 得 算法 计算 37-: mod 98。 

解 : 先 画 一 张 给 参数 赋值 的 表 , 算 法 的 运行 结果 及 各 变量 的 变化 情况 如 表 2. 8 所 示 。 


表 2.8 求 gcd(37,98) 时 扩展 欧 几 里 得 算法 运行 表 


循环 次 数 [0 Xi X, Xs Yi Y: Ys 

赋 初 值 = 1 0 98 0 1 37 

1 2 0 | 37 1 一 2 24 

2 1 1 —2 24 —1 3 13 

3 1 一 1 3 13 2 一 5 11 

4 1 一 5 11 一 3 8 2 

5 5 一 3 8 2 这 一 45 
解 得 Y: 王 1, 有 乘法 逆 元 , 值 为 Y* 的 值 一 45 ,为 方便 , 记 为 最 小 非 负 数 , 因 为 一 45 三 
53 (mod 98) , 故 一 般 说 37 模 98 的 乘法 道 元 为 53。 即 a! mod n 二 53, 也 就 是 53a mod "一 1 。 
顺便 指出 ,该 算法 还 可 以 求 出 az 十 ny 二 1 中 的 x 和 y 的 值 ,其 中 xz==Y,、y 二 六 ,在 这 


里 即 
(—45) X37+17X98=1 


3. 一 次 同 余 式 及 其 求解 


一 次 同 余 式 的 求解 也 可 以 通过 求 乘法 逆 元 的 方法 来 实现 。 

定义 : 设 mEZ+,a,OEZ,.a 和 0, 把 az 十 0 二 0 (mod m) 称 为 模 数 mm 的 一 次 同 余 式 。 

如 果 zoEZ 满 足 azo 十 6 三 0 (mod mm) , 则 称 x 硅 xo (mod m) 是 同 余 式 的 解 。 

例如 , 同 余 式 2+ 十 1 三 0 (mod 3) 有 人 解 zo 王 1; 而 同 余 式 2+ 十 1 三 0 (mod 4) 无 解 ; 

同 余 式 2+ 十 1 三 0 (mod 5) 有 人 解 zxo 王 2。 

【定理 2.9】 设 m€E2V1 ,a,b6EZV,a 关 0,gcd(a.m) 二 d, 则 同 余 式 ax 三 b (mod m) 有 解 
的 充 要 条 件 是 dlb。 在 dlb 的 条 件 下 , 同 余 式 有 4d 个 解 。 

显然 ,对 于 同 余 式 azt 三 5 (mod m) ,如 果 4 二 1, 则 a 的 乘法 道 元 就 是 同 余 式 的 解 ;车 
2 天 1, 则 首先 仍然 是 求 a 的 乘法 道 元 .然后 再 把 该 乘法 逆 元 放大 65 mod m 售 。 

例如 ,5zx 寺 323 (mod 12) , 先 求 mod m 的 余数 ,得 到 5x 三 11 (mod 12) ; 接 下 来 通过 
求 乘法 逆 元 的 方法 求 5x 三 1 (mod 12), 求 出 zx’ 一 5, 然后 将 两 边 同 乘 以 11 ,得 5x’ X11 二 
11 (mod 12) ,所 以 x 三 x’ X11 (mod 12)==55 mod 12 一 7。 

【 例 2.9】 求 41?X51 1! 寺 m (mod 55)。 


第 全 让 苔 # 二 地 


解 : 因为 51 不 能 整除 41? ,两 边 同 乘 以 51 得 51m 寺 41? (mod 55) ,可 推 得 51m 寺 31 
(mod 55) 。 

再 求 51m' 圭 1 (mod 55) 得 m 一 41。 

将 两 边 同 乘 以 31 得 mw 二 m’ X31 mod 55 一 6。 

以 上 是 通过 求 乘法 道 元 的 方法 求 同 余 式 的 解 , 另 一 种 求解 方法 是 用 下 面 的 定理 

【定理 2.10】 设 m€E2V1 ,a,bEZV,a 关 0,gcd(a,m) 二 1, 则 同 余 式 ax 三 6 (mod m) 恰 
有 一 个 解 : x 硅 bas'-1(mod m)。 

例如 ,3zx 夺 10 (mod 29) , 则 x 三 10X3”371(mod 29) 一 13。 

以 上 是 gcd(a,m) 二 1 时 求 同 余 式 解 的 情况 。 如 果 gcd(a,m) 关 1, 可 以 将 两 边 同 除 以 
公 因 子 ,得 到 一 个 新 的 同 余 式 再 来 求解 。 

【 例 2.10】 求 12x 寺 21 (mod 39) 。 

解 : gcd(12,39) 王 3, 可 知 同 余 式 有 3 个 解 。 两 边 同 除 以 3, 得 到 新 的 同 余 式 : 47 三 
7 (mod 13) ,根据 例 2. 9 的 方法 得 到 x 二 5。 

则 原 同 余 式 的 解 就 是 x 三 5,18,31 (mod 39)( 即 5 十 13n 的 形式 ,1 三 n 二 d)。 


234 离散 对 数 


1. 阶 和 本 原 根 


在 2.3.2 节 中 , 欧 拉 定 理 指出 ,如 果 gcd(a.n) 二 1, 则 as 三 1 (mod n)。 现 在 考虑 如 
下 的 一 般 形式 : 

a” 三 ] (mod n) 

如 果 &a 与 n 互 素 , 则 至 少 会 有 一 个 整数 (比如 m= 二 4(n)) 满 足 这 一 方程 。 称 满足 方 
程 的 最 小 正 整 数 mm 为 模 nw 下 a 的 阶 。 

例如 ,a 二 7,n 二 19, 则 易 求 出 7! 三 7 (mod 19) ,7? 寺 11 (mod 19) ,7; 寺 1 (mod 19), 即 
7 在 模 19 下 的 阶 为 3。 

由 于 72 一 ?3 X7 TOmod 19), 所 以 7: 圭 7 (mod 19),7; 寺 7?(mod 19),…, 即 从 
74 mod 19 开始 所 求 的 寡 出 现 循环 ,循环 周期 为 3, 即 循环 周期 等 于 元 素 的 阶 。 

【定理 2.11】 设 < 的 阶 为 m, 则 a 三 1 (mod n) 的 充 要 条 件 是 为 m 的 倍数 。 

推论 : a 的 阶 m 整除 $n)。 

如 果 a 的 阶 mr 等 于 $(n), 则 称 a 为 n 的 本 原 根 。 如 果 a 是 的 本 原 根 , 则 a,a?,…， 
ar 在 mod n 下 互 不 相同 且 都 与 n 互 素 。 特别 地 ,如 果 a 是 素数 p 的 本 原 根 , 则 a， 
aa 在 mod p 下 都 不 相同 。 

例如 ,n 二 9, 则 $(n) 二 6, 考 虑 2 在 mod 9 下 的 短 2! mod 9 二 2,2? mod 9 二 4,2? mod 
9 硅 8 ,2 mod 9 三 7,25 mod 9 三 5,25 mod 9 三 1。 即 2 的 阶 为 6, 正好 等 于 8(9), 所 以 2 为 9 
的 本 原 根 。 

例如 ,n 二 19,a 二 3 在 mod 19 下 的 竹 分 别 为 3、9、8、5、15、7、2、6、18、16、10、11、14、4、 
12、17、13、1, 即 3 的 阶 为 18 二 $8(19), 所 以 3 为 19 的 本 原 根 。 
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本 原 根 不 唯一 。 可 验证 除 3 外 ,19 的 本 原 根 还 有 2、10、13、14、15。 
注意 ,并 非 所 有 的 整数 都 有 本 原 根 ,只 有 以 下 形式 的 整数 才 有 本 原 根 : 2、4、p" 、2p”， 
其 中 p 为 奇 素数 。 


2. 离散 对 数 


设 p 为 一 个 素数 ,a 是 p 的 本 原 根 , 则 在 模 户 下 a ,az ,os ,…,ar ! 会 产生 1 到 p 一 1 之 
间 的 所 有 值 ,而 且 每 个 值 仅 出 现 一 次 。 例 如 ,p= 二 19,4 二 3, 容 易 计 算 6 三 a* (mod p) 的 结 
果 如 表 2.9 所 示 。 


表 2.9 计算 b=a* (mod p) 


Si ==9 $=8 34 三 5 $=15 Wy 
2 3 三 6 3 三 18 3 三 16 31 三 10 32=11 
a | 二 "== a | 


因此 ,对 于 任意 6E11,2,…,p 一 1) ,都 有 且 仅 有 唯一 的 正 整数 与 5 对 应 ,使 得 0 三 
at(mod p) ,也 就 是 说 b 和 k 之 间 是 一 一 对 应 的 关系 。 称 为 模 p 下 以 a 为 底 的 5 的 离散 
对 数 , 记 为 三 logsb (mod p)。 离 散 对 数 的 这 一 特点 保证 了 任意 一 个 明文 ( 密 文 ) 字 符 都 
有 且 仅 有 唯一 的 密 文 (明文 ) 字 符 与 之 对 应 。 

当 a.k.p 已 知 时 ,可 有 快速 算法 比较 容易 地 求 出 6 的 值 ;但 如 果 已 知 5.a 和 pp, 要 求 
k 的 值 时 ,对 于 精心 选择 的 p 将 至 少 需 要 p' 次 以 上 的 运算 ,如 果 p 足够 大 ,求解 离散 对 
数 问题 是 相当 困难 的 ,这 就 是 著名 的 离散 对 数 难题 。 

由 于 离散 对 数 问题 具有 较 好 的 单 向 性 ,所 以 在 公 钥 密码 学 中 得 到 广泛 应 用 。 像 
ElGamal、Diffie-Hellman、DSA 等 密码 算法 都 是 建立 在 离散 对 数 问题 之 上 的 。 


235 群 和 有 限 域 
在 AES, 椭 圆 曲 线 等 许多 密码 算法 中 ,都 涉及 群 和 有 限 域 的 概念 。 
1. 群 的 概念 


给 定 一 个 非 空 集合 G 二 {a,5,…} 和 该 集合 上 的 抽象 运算 * ,如 果 满 足以 下 4 个 条 件 ， 
则 称 代数 系统 二 G, * 二 为 群 。 

(1) 封闭 性 : 对 任意 a,5EG, 总 是 有 a*0EG。 

(2) 结合 律 成 立 : 对 任意 4a,b,cEG, 总 是 有 (a *6) *c 二 a x (bxc)。 

(3) 存在 单位 元 e: 即 存在 ecEG, 对 任意 <cEG, 总 是 有 axe 一 exa 一 a。 

(4) 存在 道 元 : 对 任意 a€G, 存 在 a 的 道 元 a-!1EG, 使 a*a -1 一 axa 一 e。 

若 群 满足 交换 律 , 即 对 任意 4a,5EG, 有 ax0 二 bx* a, 则 称 群 G 为 交换 群 ,又 称 为 阿 贝 
尔 (Abel) 群 。 

密码 算法 之 所 以 要 用 到 群 的 概念 ,主要 是 因为 群 的 封闭 性 可 保证 明文 和 密 文 将 位 于 
同一 个 集合 内 , 群 存在 逆 元 可 保证 密码 算法 可 进行 可 道 的 双向 加 解密 变换 。 


第 全 地 
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【 例 2.11】 证 明 G=={0,1,2,…,n 一 1) 关 于 mod n 的 加 法 运算 是 一 个 阿 贝尔 群 。 

证 明 : 依次 检验 集合 G 是 否 满足 群 和 阿 贝 尔 群 的 各 项 条 件 。 

(1) 封闭 性 : 车 a€EG,6EG, 则 (a 十 5) mod n 也 肯定 在 G 中 。 

(2) 结合 律 : 显然 : ((a 十 6) 十 c) mod n= 二 (a 十 (6 十 c)) mod n。 

(3) 单位 元 e==0。 

(4) 存在 道 元 : 设 a-!==n 一 a, 则 a 十 a-!==a-! 十 a 二 n 夺 0 (mod nn)。 

(5) 交换 律 : 显然 (a 十 b) mod zx 一 (0 十 a) mod n。 

【 例 2. 12】 证 明 G={1,2,…,p 一 1),p 是 一 个 素数 , 则 mod p 的 乘法 运算 是 一 个 阿 
贝尔 群 。 

证 明 : 

(1) 封闭 性 : 车 a€EG,6EG, 则 ap mod p 也 肯定 在 G 中 。 

(2) 结合 律 : 显然 (ab)c mod p= 二 a(bc) mod p。 

(3) 单位 元 e 一 1。 

(4) 存在 道 元 ,使 Xe- 一 ao 天 Xea mod p 三 1。 例 如 ,7 mod 11 在 集合 中 的 道 元 为 8。 

(5) 交换 律 : 显然 ab mod p= 二 ba mod p。 

群 有 具有 以 下 性 质 : 

Q@ 和 群 中 的 单位 元 e 是 唯一 的 。 

@ 群 中 每 一 个 元 素 的 逆 元 是 唯一 的 。 

@ 消去 律 成 立 , 即 对 任意 a.06,cEG, 如 果 ap=ac, 则 0=c; 如 果 ba 二 ca, 则 b=c。 


2. 域 和 有 限 域 的 概念 


下 是 至 少 含有 两 个 元 素 的 集合 .对 下 定义 了 两 种 运算 : 加 法 十 和 乘法 X ,如 果 满 足以 
下 3 个 条 件 , 则 称 代数 系统 二 下 ,十 ,Xx 二 为 域 。 

(1) 下 中 的 元 素 对 于 加 法 十 构成 交换 群 , 记 其 单位 元 为 0。 

(2) 下 中 的 非 零 元 素 对 于 乘法 X 构 成 交换 群 , 记 其 单位 元 为 1。 

(3) 乘法 在 加 法 上 满足 分 配 律 , 即 : 对 任意 a,b,cEF, 有 a(lb 十 c) 二 ab 十 ac, (a 十 b)c 二 
ac 十 pc。 

若 下 中 的 元 素 个 数 有 限 , 则 称 下 为 有 限 域 ,也 称 为 伽 罗 瓦 域 (Galois field)。 有 限 域 
中 的 元 素 个 数 称 为 该 有 限 域 的 阶 。 有 限 域 一 般 用 GF(g) 或 F, 表示 ,其 中 gq 表示 其 元 
数 ( 阶 ) 。 

例如 ,对 于 下 二 {0,1,2,…,p 一 1),p 是 一 个 素数 ,在 mod p 的 情况 下 做 加 法 和 乘法 
运算 ,定义 运算 规则 如 下 。 

加 法 : 如 果 a,65EF, 则 a 十 b 圭 r (mod p).rEF。 

乘法 : 如 果 a,65EF, 则 aXxb 寺 s (mod p),sEF。 
则 下 关于 加 法 构成 交换 群 ,其 加 法 单位 元 为 0;F 中 非 零 元 素 的 全 体 对 乘法 构成 交换 群 ， 
其 乘法 单位 元 为 1。 分 配 律 也 显然 成 立 。 故 下 在 mod p 情况 下 做 加 法 和 乘法 运算 构成 
有 限 域 。 

又 如 ,有 理 数 全 体 .实数 全 体 、 复 数 全 体 对 加 法 和 乘法 分 别 构成 域 ,分 别称 为 有 理 数 
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域 .实数 域 和 复数 域 。 它 们 的 元 素 个 数 是 无 穷 的 , 故 称 为 无 穷 域 。 
再 如 ,0 和 1 两 个 元 素 按 模 2 加 和 乘 构成 域 。 该 域 仅 有 两 个 元 素 , 记 为 GF(2) 。 


24 公 铀 密码 体制 


公 钥 密码 体制 又 称 为 非 对 称 密码 体制 , 它 的 出 现 是 整个 密码 学 历史 上 的 一 次 革命 ， 
有 极其 重要 的 意义 。 在 公 钥 密码 体制 出 现 之 前 ,几乎 所 有 的 密码 系统 都 是 建立 在 基本 的 
替代 和 置换 技术 上 的 。 而 公 钥 密码 体制 与 以 前 的 所 有 方法 截然 不 同 , 它 是 基于 一 种 特殊 
的 数学 函数 ,而 不 是 蔡 代 和 置换 操作 。 而 且 公 钥 密码 体制 是 不 对 称 的 , 它 有 两 个 密 钥 ,一 
个 为 密 钥 拥有 者 保管 , 另 一 个 公开 。 用 两 个 密 钥 中 任何 一 个 密 钥 加 密 内 容 , 都 能 且 只 能 
用 对 应 的 另 一 个 密 钥 解密 ,通过 这 种 方式 ,解决 了 对 称 密码 体制 中 的 密 钥 管理 分 发 和 数 
字 签 名 的 难题 , 公 钥 密码 体制 对 于 保密 通信 、 密 钥 管理 ,数字 签名 和 认证 等 领域 有 深远 的 
影响 。 


241 公 钥 密码 体制 的 基本 思想 


公 钥 密码 体制 的 基本 思想 是 ,使 用 两 个 不 同 的 密 钥 进行 加 密 和 解密 ,一 个 可 对 外 公 
开 , 称 为 公 钥 (Public Key) ,一 般 用 KU 或 PK 表示 ; 男 一 个 严格 保密 ,只 有 所 有 者 才 知 
道 , 称 为 私 钥 (Private Key 或 Secret Key) ,一 般 用 KR 或 SK 表示 。 公 钥 和 私 钥 之 间 具 有 
紧密 的 联系 ,用 公 钥 加 密 的 信息 只 能 用 相应 的 私 钥 解密 ,反之 亦 然 。 也 就 是 说 ,下 面 两 种 
做 法 是 可 行 的 : 

。 用 公 钥 加 密 , 对 应 的 私 钥 解 密 。 

。 用 私 钥 加 密 , 对 应 的 公 钥 解密 。 

而 以 下 两 者 做 法 是 行 不 通 的 : 

。 用 公 钥 加 密 , 公 钥 解 密 。 

。 用 私 钥 加 密 , 私 钥 解密 。 

同时 ,要 想 由 一 个 密 钥 推导 出 另 一 个 密 钥 ,在 计算 上 是 不 可 能 的 。 例 如 ,不 可 能 通过 
获取 公开 的 公 钥 推导 出 其 相应 的 私 钥 。 图 2. 10 是 公 钥 ( 非 对 称 ) 密 码 体制 的 示意 图 。 


一 加 密 c=E(KUB.m) | 密 文 < 解密 m=D(KRs.c) 
用 户 A |emw 私 钥 KR 月 户 B 
密码 本 


2.10 公 钥 密码 体制 示意 图 


图 2. 10 中 ,E(KUs,m) 表 示 发 送 方 A 采用 接收 方 B 的 公 钥 KUs 对 明文 m 进行 加 
密 ;D(KRse,c) 表 示 接 收 方 B 用 自己 的 私 钥 KRa 对 密 文 c 进行 解密 。 有 时 也 用 Es 表示 
给 用 户 B 发 送信 息 时 的 加 密 变 换 ,Ds 表示 用 户 B 接收 信息 时 使 用 的 解密 变换 。 


第 给 交 ， 密 双 内 基地 


S51 


公 钥 密码 体制 应 满足 以 下 要 求 : 

(1) 对 任意 明文 进行 加 密 变 换 是 很 容易 的 ,并 且 若 知道 解密 密 钥 ,那么 对 密 文 的 解密 
也 是 很 容易 的 。 

(2) 信息 的 发 送 方 对 任意 明文 进行 加 密 变 换 后 ,接收 方 进行 解密 变换 就 可 以 得 到 
明文 。 

(3) 若 不 知道 解密 密 钥 ,那么 即使 知道 加 密 密 钥 。 具 体 的 加 密 与 解密 算法 以 及 密 文 ， 
要 确定 明文 在 计算 上 也 是 不 可 行 的 。 

也 就 是 说 , 公 钥 密码 体制 就 像 上 下 行 线 不 同 的 公交 线路 一 样 ,从 明文 到 密 文 加 密 变 
换 的 过 程 和 从 密 文 到 明文 解密 变换 的 过 程 是 不 同 的 ,而 且 这 两 条 上 下 行 线 都 是 单 向 行驶 
线 ,加密 后 不 能 按 原 来 过 程 的 逆 过 程 解密 。 

公 钥 密码 体制 的 实现 是 通过 单 向 陷 门 函 数 实现 的 。 所 谓 单 向 陷 门 函数 是 这 样 的 函 
数 , 即 除非 知道 某 种 附加 的 信息 ,否则 这 样 的 函数 在 一 个 方向 上 容易 计算 ,而 在 反方 向 上 
要 计算 是 不 可 行 的 ,如 图 2.11 所 示 。 因 此 ,寻找 合适 的 单 向 陷 门 函数 是 公 钥 密码 体制 应 


用 的 关键 。 
计算 =) 容易 
了 aoc 
计算 eI0) 容 易 (已 知 ,y 已 知 ) LU 
图 2.11 单 向 陷 门 函数 的 特点 
对 这 种 函数 的 定义 如 下 : 


(1) 正 向 易 算 性 。 给 出 了 的 定义 域 中 的 任意 元 素 x ,计算 f(x) 是 很 容易 的 。 

(2) 当 给 出 y= 二 f(z) 中 的 y, 要 计算 x= fri!1(y) 时 ,着 知 道 设计 函数 f(x) 结 合 进 去 的 
某 种 信息 时 , 则 容易 计算 ( 隐 门 依赖 性 ); 否 则 z= fr (y) 将 是 很 难 计算 的 ( 反 向 不 可 
算 性 ) 。 

这 样 , 设 计 公 钥 密 码 体 制 就 变 成 了 寻找 某 种 单 向 陷 门 函数 。 让 知道 陷 门 的 人 可 以 很 
容易 地 进行 解密 变换 ,而 不 知道 的 人 则 无 法 有 效 地 进行 解密 变换 ,也 称 该 问题 难 解 或 难 
以 计算 。 生 活 中 有 很 多 问题 类 似 于 单 向 陷 门 函数 。 例 如 ,任何 人 都 可 以 很 容易 地 将 一 扇 
防盗 门 关 上 ,但 如 果 没 有 钥匙 ,要 将 关上 的 防盗 门 打开 是 非常 困难 的 。 那么 钥匙 就 可 以 
看 成 是 这 个 单 向 函数 (开关 防盗 门 ) 的 一 个 陷 门 。 

单 向 陷 门 函数 一 般 基 于 数学 上 的 难 解 的 问题 来 实现 。 目 前 常见 的 数学 难题 有 以 下 
几 类 : 

(1) 基于 大 整数 分 解 的 数学 难题 , 即 已 知 两 个 素数 ,要 求 它 们 的 乘积 是 容易 的 ;但 已 
知 它们 的 乘积 ,要 将 它们 分 解 成 两 个 素数 是 很 困难 的 ,代表 算法 是 RSA。 

(2) 基于 离散 对 数 的 难题 ,代表 算法 有 ElGamal、Diffie-Hellman、DSA 等 。 

(3) 基于 椭圆 曲线 的 难题 ,代表 算法 有 椭圆 曲线 密码 体制 (Elliptic Curves 
Cryptography,ECC) 。 

(4) 基于 背包 问题 ,代表 算法 是 Merkle-Hellman, 背 包 问 题 刚 提 出 来 时 曾 认为 是 不 
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可 破译 的 ,但 5 年 后 Shamir 完全 破译 了 背包 系统 ,因此 背包 问题 已 不 能 用 作 单 向 陷 门 函 
数 使 用 了 。 


242 RSA 公 钥 密码 体制 


1978 年 ,R. Rivest,A. Shamir 和 上 L. Adleman 提出 的 RSA( 名 字 的 缩写 ) 公 钥 密 码 体 
制 是 一 种 用 数论 构造 的 .也 是 迄今 为 止 理 论 上 最 为 成 熟 完善 ,安全 性 能 良好 的 密码 体制 ， 
该 体制 已 得 到 广泛 的 应 用 。RSA 公 钥 密码 体制 的 原理 是 基于 大 整数 分 解 的 数学 难题 。 

实际 上 , 设 N 是 两 个 大 素数 的 乘积 , 则 大 整数 N 的 分 解 存 在 以 下 4 个 难题 ,RSA 的 
原理 是 基于 下 面 的 第 3 个 难题 。 

(1) 将 N 分 解 为 两 个 大 素数 。 

(2) 给 定 整数 m( 明 文 ) 和 c( 密 文 ), 寻 找 d 满足 m* 二 c mod N。 

(3) 给 定 整 数 e 和 c ,寻找 m 满足 c= 二 m* mod N。 

(4) 给 定 整 数 xz, 判定 是 否 存 在 整数 > 满足 + 二 y? mod N。 

大 整数 分 解 是 计算 上 困难 的 问题 ,目前 ,比较 好 的 大 整数 分 解 算 法 有 二 次 筛选 法 、 椭 
圆 曲 线 法 、Pollard 的 蒙特 卡 罗 算 法 . 数 域 筛选 法 等 。 然 而 ,专家 推测 ,即使 用 数 域 筛选 法 
分 解 n 为 200 位 的 十 进 制 大 整数 时 ,用 超 高 速 计 算 机 也 要 10" 年 ,因此 设计 良好 的 RSA 
算法 加 密 是 足够 安全 的 。 


1. RSA 加 密 的 过 程 


RSA 公 钥 密码 体制 的 实现 过 程 如 下 : 

(1) 选择 大 素数 。 任 选 两 个 秘密 的 大 素数 p 和 g (100 一 200 位 的 十 进 制 数 或 更 大 )， 
计算 n=pgq, 青 计算 nn 的 欧 拉 函 数 : $1) 二 $(p)$(g) 二 (p 一 1)(g 一 1), 计 算 完 后 ,n 可 以 
公开 。 

(2) 产生 公 钥 和 私 钥 。 随 机 地 选择 一 个 与 $(n) 互 素 的 整数 。 作为 某 用 户 的 公 钥 (这 
样 e 才 会 具有 乘法 逆 元 ) 。 求 出 e 的 乘法 逆 元 ,将 该 结果 作为 私 钥 d, 即 de 一 1 mod $(n)。 
显然 , 公 钥 和 私 钥 是 成 对 出 现 的 。 其 他 用 户 的 公 钥 和 私 钥 也 可 以 这 样 产生 ,但 私 钥 是 保 
密 的 , 公 钥 是 公开 的 。 

(3) 密 钥 的 发 布 。 将 d 保密 ,(d,n) 作 为 私 钥 ; 将 e 公开 ,(e,n) 作 为 公 钥 。 为 了 安全 ， 
这 时 可 以 销毁 p、g。 

(4) 加 密 。 加 密 时 首先 将 明文 比特 串 分 组 ,使 得 每 个 分 组 对 应 的 十 进 制 数 小 于 , 即 
分 组 长 度 小 于 logzn。 然 后 对 每 个 明文 分 组 m 作 加 密 运 算 : 

c=E(m)=m’ mod 7 

(5) 解密 。 对 密 文 分 组 c 的 解密 运算 为 


m=D(c)=c mod 7 


2. 证 明 RSA 解密 过 程 的 正确 性 
证 明 : 由 加 密 过 程 知 c 二 m* mod nn, 可 知 : 
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cd mod n=m” modn (1) 
由 于 ed 二 1 mod $(n) 可 推出 ed 二 k(n) 十 1, 代 入 (1) 式 得 


tgW+1l mod n 


cd mod n=m” mod n=m 
下 面 分 两 种 情况 来 讨论 : 
(1) m 与 n 互 素 , 则 由 欧 拉 定 理 得 
m1 (mod n), mst? 1 (mod n), mW+1=m (mod n) 

即 cd mod 7 三 7 。 

(2) 若 gcd (m,n) 关 1, 先 看 gcd (m,n) 二 1 的 含义 。 由 于 n= 二 pq; 所 以 gcd(Cm 7) 一 1 
意味 着 m 不 是 p 的 倍数 也 不 是 的 倍数 。 因 此 gcd(m,n) 支 1 意味 着 m 是 p 的 倍数 或 g 
的 倍数 ,不 妨 设 = 二 tp ,其 中 1 为 一 个 正 整 数 。 此 时 必 有 gcd (m,g) 二 1, 否 则 m 也 是 g 的 
倍数 ,从 而 是 pg 的 倍数 ,与 mm 二 n= 二 pq 矛盾。 

由 gcd (mg) 王 1 及 欧 拉 定 理 得 m1? 寺 1 (mod g) ,可 得 

mW (mod gqg), (2 )*” =1 (mod gq), mW 1 (mod g) 

因此 存在 一 个 整数 ~, 使 得 ws = 二 1 十 rq, 两 边 同 乘 以 m= 二 ip (左边 乘 以 ,右边 乘 

以 tip) 得 
ms Vt mt+rtipqg=m+trin 
即 区 和 1 圭 m (mod 2) ,所 以 mo mod n 二 m,cx mod n 二 mm。 问题 得 证 。 

提示 : 一 个 明文 与 n 不 互 素 的 概率 小 于 1/p 十 1/g, 因 此 ,如 果 p 和 g 的 值 极 大 ， 
gcd (m,n) 隆 1 的 概率 极 小 ,有 时 也 可 忽略 不 计 。 

证 明 : m 同 不 互 素 ,那么 x 必 是 p 的 倍数 或 q 的 倍数 ,由 于 mm 三 n,m 是 p 的 倍数 
的 情况 最 多 有 9g 个 ,m 是 g 的 倍数 的 情况 最 多 有 pp 个 ,而 m 所 有 可 能 的 个 数 是 n 个 ,因此 
m 同 n 不 互 素 的 概率 小 于 (p 十 gq)/n: 即 p 二 gq/ (pq), 即 1/p 十 1/g。 

【 例 2.13】 演示 RSA 密码 体制 加 密 与 解密 过 程 的 例子 。 

假定 用 户 B 任 取 两 个 素数 ,p 二 47,g 二 71, 然 后 计算 n= 二 47X71 二 3337,$(n) 二 46X70= 
3220。 接 下 来 任 取 一 个 与 3220 互 素 的 数 作为 e, 设 B 取 ce 二 79, 那 么 B 必 须 用 扩展 的 欧 几 
里 得 算法 求 e 在 模 $(n) 下 的 乘法 道 元 d, 可 算得 

d=e ! mod $(n)=79 1 mod 3220 一 1019 

因此 B 的 公 钥 e 为 (79,3337), 私 钥 d 为 (1019,3337)。 

现在 用 户 A 想 加 密 明 文 信息 688( 可 看 成 是 明文 转换 成 编码 后 的 一 个 分 组 ) 给 B,A 
首先 需要 获得 B 的 公 钥 (79,3337) ,然后 计算 : 

c=m* mod n=688"” mod 3337 一 1570 
并 将 密 文 1570 发 给 B。B 收 到 密 文 后 ,用 自己 的 私 钥 (1019,3337) 进 行 解密 ; 
m=c* mod n=1570’™ mod 3337 一 688 

【 例 2.14】 设 明文 为 "YES”, 试 用 RSA 算法 对 其 进行 加 密 。 

解 : 假定 用 户 取 ”一 281X167 一 46927,e 一 39423,d 一 26767。 

由 Y-~24,E-~4,S-~18, 得 

YES->~24X262 十 4X26 十 18 王 16346 


利用 加 密 公式 : 


54 


全 xiean 


c=m’* mod 7 一 163463423 mod 46927 一 21166 
而 21166 王 1X26: 十 5X26: 十 8X6 十 2, 得 : 1 一 B,5 一 F,I 一 8,2 一 C, 所 以 密 文 是 
“BFIC”。 


3. RSA 的 计算 问题 


1) 大 整数 求 军 运 算 

在 实际 中 ,由 于 RSA 的 加 密 、 解 密 过 程 都 是 对 一 个 大 整数 求 宪 , 再 取 模 。 如 果 直 接 
计算 , 则 中 间 结 果 非 常 大 ,有 可 能 超出 计算 机 所 允许 的 整数 取 值 范围 。 目 前 一 般 采 用 快 
速 指数 算法 将 大 数 分 解 后 再 计算 ,来 解决 这 个 问题 。 

2) 素性 检验 

在 RSA 中 ,需要 选取 两 个 大 素数 p 和 g。 如 何 确 保 选 取 的 大 数 一 定 是 素数 呢 ? 这 就 
是 素性 检验 问题 。 目 前 寻找 大 素数 一 般 是 先 随机 选取 一 个 大 的 奇数 ,然后 用 素性 检验 算 
法 检验 这 一 奇数 是 否 为 素数 ,如 果 不 是 则 再 选取 另 一 奇数 ,重复 这 一 过 程 , 直 到 找到 素数 
为 止 。 


4.， RSA 的 参数 考虑 


(1) p 和 g 在 长 度 上 应 仅 差 几 个 数位 , 即 p 和 4g 应 是 1075 一 10100 。 

(2) p 一 1 和 g 一 1 都 应 包含 一 个 较 大 的 素数 因子 r,r 一 1 也 有 一 个 大 的 素 因 子 。 
(3) gcd (p 一 1,g 一 了 ) 应 比较 小 。 

(4) 如 果 en 且 4d 二 n 的 1/4 时 , 则 4 可 以 很 容易 确定 ,因此 4 不 能 太 小 。 


5. 对 RSA 的 攻击 


RSA 的 安全 性 依赖 于 大 数 分 解 , 但 是 否 等 同 于 大 数 分 解 一 直 未 能 得 到 理论 上 的 证 
明 ,因为 没有 证 明 破解 RSA 就 一 定 需要 作 大 数 分 解 。 假 设 存在 一 种 无 须 分 解 大 数 的 算 
法 , 那 它 肯 定 可 以 修改 成 为 大 数 分 解 算 法 。 目 前 ,RSA 的 一 些 变种 算法 已 被 证 明 等 价 于 
大 数 分 解 。 不 管 怎样 ,分解 是 最 直接 的 攻击 方法 。 现 在 ,人 们 已 能 分 解 140 多 个 十 进 
制 位 的 大 素数 。 因 此 , 模 数 ”必须 选 大 一 些 ,根据 具体 适用 情况 而 定 。 

1) RSA 共 模 攻击 

在 实现 RSA 时 ,为 方便 起 见 , 可 能 给 每 个 用 户 相同 的 模 数 2 虽然 加 解密 密 钥 不 同 )， 
然而 这 样 做 是 不 行 的 。 设 两 个 用 户 的 公 钥 分 别 为 ee 和 ez , 且 它 们 互 素 (一 般 情况 都 成 
立 ) ,明文 消息 是 交 2, 密 文 分 别 是 c 三 za (mod 2) 和 cz 三 ms (mod 2) 。 敌 手 截获 ck 和 cs 
后 ,可 如 下 恢复 m: 用 扩展 欧 几 里 得 算法 求 出 满足 re 十 ez 一 1 的 两 个 整数 + 和 ; ,其 中 一 
个 为 负 , 设 为 s。 再 次 用 扩展 欧 几 里 得 算法 求 出 cr mod ,就 可 计算 出 

(c) em) Xm2)=m"t) mod n=m(mod n) 

例如 ,假设 系统 选择 p= 二 5,g 二 11,n 二 55, 则 %(z) 一 4X10 一 40。 

如 果 为 两 个 用 户 都 使 用 相同 的 模 数 ,为 他 们 选择 的 公 钥 分 别 为 e 一 7,e: 一 13。 

设 明 文 消息 m= 二 6, 则 两 个 用 户 的 密 文 分 别 为 


dm (mod n)=6’ mod 55 一 41 
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cm®* (mod 11) 一 63 mod 55=51 
由 rei 十 sez 王 1 推出 rrX7 十 sX13==1, 根 据 扩展 欧 几 里 得 算法 求 出 ; r==2,s 二 一 1。 
根据 (c7!) "三 m(mod n) 得 
412 X51 !m (mod 55) 

解 该 一 次 同 余 式 ,得 m= 二 6, 从 而 恢复 得 到 了 明文 。 

2) RSA 的 小 指数 攻击 

有 一 种 提高 RSA 速度 的 建议 是 使 公 钥 e 取 较 小 的 值 ,这 样 会 使 加 密 变 得 易于 实现 ， 
速度 有 所 提高 。 同 样 ,为 了 使 解密 速度 快 ,希望 选用 较 小 的 d。 但 这 样 做 都 是 不 安全 的 ， 
当 4d 小 于 nn 的 1/4 时 ,已 有 求 出 4d 的 攻击 方法 。 对付 的 办 法 就 是 e。 和 d 都 取 较 大 的 值 ， 
有 学 者 建议 e 取 2* 十 1 二 65537。 


243 BGanad 算法 


ElGamal 公 钥 密码 算法 于 1985 年 由 T. ElGamal 提出 , 它 是 一 种 基于 离散 对 数 问 题 
的 公 钥 密码 算法 。ElGamal 算法 的 具体 加 密 和 解密 过 程 如 下 。 
1. 密 钥 的 生成 
对 于 基于 离散 对 数 问题 的 密码 算法 来 说 ,依据 > 一 wz mod p, 总 是 将 x 作为 私 钥 , 而 
将 y 作为 公 钥 ,这样 通 过 工 求 > 很 容易 ,但 已 知 y 求 x 时 ,就 相当 于 计算 离散 对 数 问题 的 
复杂 性 。ElGamal 公 钥 密码 算法 也 是 如 此 : 先 取 一 个 大 素数 p 及 p 的 本 原 根 a ,然后 选 
择 一 个 随机 数 x,2 三 x 三 p 一 2, 再 计算 > 一 az mod Pp, 以 (ywa,p) 作 为 用 户 的 公 钥 ,而 zx 作 
为 用 户 的 私 钥 。 
2. 加 密 过 程 
设 用 户 想 加 密 的 明文 为 m,m 二 p, 其 加 密 过 程 如 下 :; 随机 选择 一 个 整数 &,2 三 k 三 
p 一 2, 计 算 
a=a modp 
c=my:modp 
则 密 文 为 二 元 组 (ci ,cs)。 
3. 解密 过 程 


用 户 使 用 私 钥 x 对 密 文 (ci ,cz ) 解 密 的 过 程 如 下 : 
m=cs(c1*) ! mod p 
4. 验证 解密 的 正确 性 


因为 二 a* mod p,cs 二 my* mod Pp 所以: 
cc) ! mod p=my(a”) ! mod p=ma™* (a®) ! mod p=m mod p=m 


从 加 密 过 程 可 以 看 出 ,ElGamal 加 密 运 算 的 结果 具有 随机 性 ,因为 密 文 既 依赖 于 明 
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文 和 公 钥 ,还 依赖 于 加 密 过 程 中 选择 的 随机 数 &。 所 以 ,对 于 同一 个 明文 ,每 次 加 密 时 会 
有 许多 可 能 的 密 文 ,这 说 明 ElGamal 是 一 个 * 非 确定 性 ”的 算法 。 这 样 ,由 于 明文 和 密 文 
并 非 一 一 对 应 关系 ,攻击 者 通过 选择 明文 攻击 或 选择 密 文 攻击 的 难度 会 大 大 增加 。 
下 面 举 一 个 简单 的 例子 说 明 ElGamal 密码 体制 加 密 的 运算 过 程 。 
【 例 2.15】 设 p==19, 本 原 根 a 二 13(2. 3.4 节 已 验证 ,13 是 Zis 的 本 原 根 )。 假 设 用 
户 BB 选择 整数 x 二 10 作为 自己 的 私 钥 ,然后 计算 用 户 B 的 公 钥 y: 
y 一 az mod p=13' mod 19=6 
假设 用 户 A 想 秘密 地 发 送 编码 为 x=11 的 消息 给 用 户 B, 则 用 户 A 可 执行 下 述 加 密 
首先 用 户 A 选择 一 个 随机 数 ,假设 "一 7, 则 计算 
c=a* mod p=13’ mod 19=10 
cs—=my: mod p=11X6’ mod 19=4 
用 户 A 把 元 组 (10,4) 发 送 给 用 户 B。 
用 户 B 在 收 到 密 文 c= 二 (10,4) 后 ,解密 如 下 : 
m=cs(cf) ! mod p=4X(10")7! mod 19=4X17 mod 19=11 
ElGamal 算法 在 加 密 方面 的 应 用 没有 在 签名 方面 应 用 广泛 。 加 密 模型 没有 被 充分 
应 用 ,而 其 签名 模型 是 美国 数字 签名 标准 (DSS) 的 基础 。 
在 实际 应 用 中 ,要 求 EIGamal 密码 算法 中 的 素数 p 按 十 进 制 表示 至 少 应 该 有 150 位 
数字 ,并 且 p 一 1 至 少 应 该 有 一 个 大 的 素 因 子 。 


244 椭圆 曲线 密码 体制 


人 们 对 椭圆 曲线 方程 的 研究 开始 于 19 世纪 中 期 ,其 中 最 著名 的 是 Weierstrass 提出 
的 Weierstrass 方程 ,椭圆 曲线 在 费 马 大 定理 的 证 明 中 起 到 了 重要 作用 。1985 年 , Koblit 
和 Victor Miller 首次 将 椭圆 曲线 方程 应 用 于 密码 学 领域 ,提出 了 椭圆 曲线 加 密 算法 
(Elliptic Curve Cryptography,ECC) 。 


1. 平行 线 与 无 穷 远 点 的 表示 


平面 上 的 直线 只 有 相交 和 平行 两 种 情况 。 为 了 将 这 两 种 情况 进行 统一 ,可 以 认为 平 
行 线 相交 于 无 穷 远 点 。 

直线 上 出 现 无 穷 远 点 所 带 来 的 好 处 是 所 有 的 直线 都 相交 了 , 且 只 有 一 个 交点 。 这 就 
把 直线 的 平行 与 相交 统一 了 。 为 与 无 穷 远 点 相 区 别 , 把 原来 平面 上 的 点 叫 作 平常 点 。 

无 穷 远 点 具有 以 下 重要 性 质 : 

。 直 线 L 上 的 无 穷 远 点 只 能 有 一 个 (从 定义 可 直接 得 出 )。 

。 平 面 上 一 组 相互 平行 的 直线 有 公共 的 无 穷 远 点 (从 定义 可 直接 得 出 )。 

。 平面 上 任何 相交 的 两 条 直线 Li Ls 有 不 同 的 无 穷 远 点 (假设 Li 和 LL 有 公共 的 无 

穷 远 点 已 , 则 Li 和 有 两 个 交点 A、P, 故 假设 错误 )。 
。 平面 上 全 体 无 穷 远 点 构成 一 条 无 穷 远 直线 。 
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由 于 普通 的 平面 直角 坐标 系 ( 笛 卡 儿 坐标 系 ) 无 法 表示 无 穷 远 点 的 坐标 ,为 了 表示 无 
穷 远 点 ,人 们 引入 了 射影 平面 坐标 系 , 射 影 平 面 坐标 系 兼 容 平面 直角 坐标 系 中 旧 有 的 平 
常 点 ,并 且 还 可 以 表示 无 穷 远 点 。 

对 普通 平面 坐标 系 上 的 任意 点 坐标 A(x,y) 做 如 下 改造 即 可 得 到 射影 平面 坐标 上 
的 点 : 

令 z 二 X/Z,y 二 Y/Z(Z 了 0)。 则 A 点 可 以 表示 为 (X:Y:Z)。 例 如 ,平面 上 的 点 
(1,2) 在 射影 平面 上 的 坐标 为 (1,2,1)、 (2,4,2)、(1.2,2.4,1.2) 等 形 如 (Z:2Z:Z),Z 天 0 

由 于 无 穷 远 点 是 两 条 平行 线 的 交点 ,因此 联 立 两 条 平行 线 在 射影 平面 下 的 方程 
aX 二 bY 十 2Z==0 和 aX 十 bY 十 csZ 二 0, 即 可 得 无 穷 远 点 的 坐标 为 (X,Y,0) ,显然 ,无 穷 远 
直线 对 应 的 方程 为 Z 一 0。 


2. 椭圆 曲线 方程 


简单 地 说 ,椭圆 曲线 方程 描述 的 并 不 是 椭圆 ,之 所 以 称 为 椭圆 曲线 ,是 因为 它 是 用 三 
次 方程 来 表示 的 ,并 且 该 方程 与 计算 椭圆 周 长 的 方程 相似 。 一 般 而 言 ,椭圆 曲线 的 三 次 
方程 形式 为 


y+arxytasy = rar cartas (2, 1) 


其 中 a;EF,i 二 1,2,3,4,6。 下 是 一 个 域 ,可 以 是 有 理 数 域 .复数 域 ,还 可 以 是 有 限 域 F,。 
满足 上 面 方程 的 所 有 点 (x,y) 青 加 上 一 个 无 穷 远 点 O 就 构成 椭圆 曲线 。 用 公式 表示 即 


{X19) EF | 十 azy 十 asy 一 如 十 azz2 十 adz 十 ac) U {0O} 
3. 椭圆 曲线 的 加 法 


在 椭圆 曲线 所 在 的 平面 上 ,前 面 已 经 定义 了 一 个 无 穷 远 点 0, 我 们 把 它 定义 为 加 法 
的 单位 元 , 即 椭圆 曲线 上 的 任意 点 与 它 相 加 ,有 P 二 0 二 0 十 P=P。 

椭圆 曲线 的 加 法 定义 如 下 : 如 果 椭 圆 曲 线 上 的 3 个 点 位 于 同一 直线 上 , 则 这 3 个 点 
的 和 为 0。 根据 该 加 法 定义 可 推导 出 以 下 4 条 重要 的 运算 规则 。 

(1) 设 R 和 尺 为 椭圆 曲线 上 关于 X 轴 对 称 的 两 个 点 ,如 图 2. 12 所 示 , 即 R= 
(ZX,y) ,Ri 二 (zx, 一 y), 由 于 R 和 Ri 的 连接 线 必定 经 过 无 穷 远 点 0, 故 R、R1、O 三 点 共 
线 , 因 此 由 加 法 定义 得 RR 十 Ri 十 0 二 0O, 所 以 R= 一 Ri。 

(2) 设 P 和 Q 是 椭圆 曲线 上 xz 坐标 不 同 的 两 个 点 ,R= 二 P 十 Q 定义 为 : 画 一 条 通过 
P.Q 的 直线 与 椭圆 曲线 相交 于 Ri ,如 图 2. 12 所 示 , 由 加 法 定义 得 P 十 Q 十 Ri 二 0O, 则 P 十 
Q= 二 一 Ri 一 R, 图 2.12 直观 地 展示 了 该 运算 。 

(3) 点 卫 的 倍 和 点 定义 为 : 过 PP 点 做 椭圆 曲线 的 切线 ,如 图 2. 13 所 示 , 设 与 椭圆 曲线 
相交 于 Ri, 则 P 十 P 十 Ri 二 0, 故 2P= 一 Ri 二 R。 

(4) 个 相同 的 点 P 相 加 记 作 kP。 有 PP 十 P 二 P= 二 2P 十 P 二 3P。 因 此 ,要 计算 3P 的 
值 ,只 能 将 3 个 PP 依次 相 加 ,不 能 将 P 点 坐标 乘 以 3 。 

对 于 椭圆 曲线 上 任意 两 点 的 加 法 ,可 以 通过 下 面 的 方法 求解 。 

设 椭圆 曲线 方程 为 y= 二 x 十 az 十 5b, 椭 圆 曲 线 上 有 点 PC(z ,wm)、QCz ,yz), 如 图 2.12 所 
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示 。 则 过 PP 和 QQ 点 的 直线 的 斜率 为 & 二 (ys 一 y1)/ (xs 一 Xx1) ,该 直线 可 表示 为 y 二 k(x 一 
ZX1) 十 y1。 通 过 把 直线 代入 椭圆 曲线 方程 , 即 可 求 得 第 3 个 交点 的 坐标 , 取 第 3 个 交点 关 
于 X 轴 的 对 称 点 即 为 所 求 。 

对 于 倍 点 运算 , 则 通过 P(zi,yi) 点 做 椭圆 曲线 的 切线 ,如 图 2. 13 所 示 , 该 切线 的 斜 
率 可 用 如 下 方法 求 得 。 


2 7 Pr ,yy 
Q(x ?7) { Rix, -) GyD fRiGo -nn) 
1 1 
[一 ~ | 一 -> 
| | 
| 
Per R(xs, »3) R(x y3) 
图 2.12 R=P++Q 示意 图 图 2.13 R=2P 示 意图 
对 y= 二 x 十 az 十 b 两 边 求 导数 得 
"2 
2yy” 37: 二 +a, k=y a 有 “ 


则 过 P 点 的 椭圆 曲线 的 切线 就 可 表示 为 y 二 k(x 一 x1) 十 yi。 再 把 > 代入 椭圆 曲线 
方程 ,有 


Xx CO—hkxr? 2k(y1— kri)rt+ar—b— (yO— kr Ww 0 
即 可 求 得 直线 与 椭圆 曲线 另 一 个 交点 的 坐标 , 取 该 点 关于 X 轴 的 对 称 点 即 为 所 求 。 
综 上 所 述 ,椭圆 曲线 上 点 的 加 法 运算 规则 可 以 定义 如 下 。 
设 P=(zxi,y1)、Q== (zz ;yz),P 关 一 Q,; 则 P 十 Q=R(xs，,ys),， 由 以 下 公式 确定 : 


za 一 有 2 一 并 二 二 PQ 

m= = Sh 
其 中 ，k 二 1 

ys = k(xzi— Zz)— yi 321 十 < 


P=Q 


4. 密码 学 中 的 椭圆 曲线 模型 


并 不 是 任何 椭圆 曲线 都 适合 加 密 , 密 码 学 中 普遍 采用 的 是 有 限 域 上 的 椭圆 曲线 ,有 
限 域 上 的 椭圆 曲线 是 指 曲线 方程 定义 式 (2.1) 中 所 有 系数 都 是 某 一 有 限 域 中 的 元 素 ， 
这 可 通过 将 椭圆 曲线 方程 做 模 p 运算 实现 ,最 常用 的 有 限 域 Ff, 上 的 椭圆 曲线 是 由 

yx +ar+b (modp) (a,b €E Fi,4as 十 270 #0 (mod p)) 《2 
定义 的 曲线 , 简 记 为 E,(a,5)。 例 如 y? 寺 x? 十 x 十 6 (mod 11) 是 有 限 域 Fi 上 的 椭圆 曲 
线 , 可 简单 表示 为 Ei(1,6)。 

其 中 ,p 是 一 个 大 素数 ,a 和 4 是 两 个 小 于 p 的 非 负 整数 ,它们 满足 4as 十 275? 关 
0 (mod p) ,其 元 素 集合 是 满足 方程 y* 一 x ?十 ar 十 b 且 小 于 p 的 非 负 整数 对 (x,y) 以 及 外 
加 无 穷 远 点 O 的 所 有 点 。 
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例如 ,对 于 椭圆 曲线 将 一 z 十 z 十 1 (mod 23) ,此 曲线 上 共有 27 个 点 ,分 别 是 (0,1)、 
Cody A 12, 9 005227 00, 190) CL 7 Ch TNT LL 15520》 C17 3 (3710) st; 
Vi ER 20D BE :ed BR RG YG I DE ED NL th Ih RE er 
(12,4)、(19,18)、(13,16)、(1,16)、(7,12) ,然后 再 加 上 一 个 无 穷 远 点 O, 如 图 2. 14 所 示 。 


X 无 穷 远 点 Ooo 


+456789 101 1213 1 15 16 17 18 19 2021 2 23 
Ezal1,1) 


2.14 六 一 忆 十 x 十 1 (mod 23) 在 平面 上 的 点 


从 图 中 看 ,这 些 点 之 间 没 有 太 多 联系 ,这 样 ,椭圆 曲线 在 有 限 域 上 就 转化 为 一 些 杂 乱 
无 章 的 点 了 。 对 于 同一 条 椭圆 曲线 y= 二 x 十 ar 十 b (mod p),p 的 取 值 不 同 ,这 些 点 的 分 
布 也 不 同 。 

有 限 域 上 的 椭圆 曲线 加 法 也 遵循 上 面 的 加 法 公式 ,但 需要 把 求 得 的 值 青 做 一 次 mod 
pp 运算 。 

【 例 2.16】 设 椭圆 曲线 为 六 = 十 x 十 1 (mod 23) ,其 上 的 点 P==(3,10),Q==(9,7)， 
求 R=P+Q 的 值 和 2P 的 值 。 
解 : k==(ys 一 y1)/(zz 一 x1) 二 (7 一 10)/(9 一 3)= 一 1/2 寺 22/2 (mod 23) 一 11 (mod 23) 
zs 一 大 一 2 一 2 一 112 一 3 一 9 三 17 (mod 23) 
3 一 &(CZl 一 Zas) 一 轴 王 11X(3 一 17) 一 10 反 20 (mod 23) 

故 R= 二 P 十 Q 的 坐标 为 (17,20) 。 

k=(3z?+a)/2y =[3X3+1]/(2xX10)=7/530/5 (mod 23)=6 (mod 23) 

Xs=k:—zxi—zxs=6—3—3=30 三 7 (mod 23) 

ys=k(z1—Zzx3)—y1=6X(3—7)—10=—34=12 (mod 23) 

故 2P 的 坐标 为 (7 ,12)。 


5. ECC 加 解密 模型 
公 钥 加 密 算法 总 是 基于 一 个 数学 难题 的 ,椭圆 曲线 密码 体制 基于 的 数学 难题 如 下 。 
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对 于 等 式 KK 二 kG, 其 中 K.G 是 EE,(a.,b5) 上 的 点 ,k 是 小 于 nn 的 整数 (n 为 G 的 阶 数 )。 
不 难 发 现 , 给 定 & 和 G ,依据 加 法 法 则 ,计算 K 很 容易 ;但 如 果 给 定 K 和 G ,要 求 就 相当 
困难 了 。 

一 般 地 ,把 G 点 称 为 基点 (base point) ,k 作为 私 钥 ,而 K 作为 公 钥 。 

下 面 是 一 个 使 用 ECC 进行 加 密 、 解 密 的 通信 过 程 : 

(1) 用 户 A 选 定 一 条 椭圆 曲线 E, (a,5) ,并 取 椭 圆 曲 线 上 的 任 一 点 作为 基点 G。 

(2) 用 户 A 选择 一 个 私有 密 钥 & ,满足 &< ,并 生成 公开 密 钥 K 二 kG。 

(3) 用 户 A 将 EE,(a,6b) 和 点 KG 传送 给 用 户 B; 私 钥 k 严格 保密 。 

(4) 用 户 B 接 收 到 信息 后 ,将 待 传输 的 明文 进行 编码 (编码 方法 很 多 ,这 里 不 作 讨 
论 ) ,将 编码 后 的 明文 m 映射 到 EE,(a,5) 上 的 一 点 M, 并 产生 一 个 随机 整数 r(r 二 n)。 

(5) 用 户 B 计 算 点 C1 =M+rK;Cs=rG。 

(6) 用 户 BB 将 (Ci ,Cs) 作 为 密 文 传送 给 用 户 A。 

(7) 用 户 A 收 到 信息 后 ,计算 C 一 AC: ,结果 就 是 点 M。 因 为 

Ci 一 AC: M+rK —k(rG) M+rK—r(kG) M 
再 对 点 M 进行 解码 就 可 以 得 到 明文 了 。 

可 见 ,ECC 算法 如 同 EIGamal 密码 体制 一 样 ,也 是 一 个 不 确定 性 的 算法 ,对 于 一 个 消 
息 mm, 如 果 加 密 过 程 中 随机 数 -选择 不 一 样 , 则 加 密 得 到 的 密 文 也 不 同 。 另 外 ,该 密码 体 
制 也 有 密 文 “ 信 息 扩展 ?问题 。 

在 这 个 加 密 通 信 中 ,如 果 存 在 窃听 者 HH, 他 只 能 看 到 E,(a,b)、K、G、C1、Cs。 而 通过 
K.G 求 & 或 通过 CG 求 r 都 是 相当 困难 的 。 因 此 ,H 无 法 得 到 A、B 间 传送 的 明文 
信息 。 

【 例 2.17】 设 用 户 A 选取 的 椭圆 曲线 为 y= 二 x 十 + 十 6 (mod 11) ,并 选取 曲线 上 的 
点 (2,7) 作 为 G 点 。 则 加 解密 过 程 如 下 : 

(1) 用 户 A 选择 一 个 数 &=7 作为 私 钥 ,然后 计算 公 钥 K==kG==7G==(7,2)。 

(2) 用 户 A 将 已 (a,0) 和 点 开 、G 传送 给 用 户 B。 

(3) 用 户 B 对 明文 进行 加 密 , 假 设 B 要 加 密 的 明文 经 映射 后 是 M=(10,9)( 这 是 瓦 
上 的 一 个 点 ) ,然后 B 选 择 一 个 随机 数 "一 3,B 计算 : 

G =M+rK=(10,9)+3(7;2)=(10,9)++ (3,5) 
二 9r 十 8r 二 17r 二 4r= 二 (10,2)( 注 : 13r==0) 
CG =rG=3t7) = (8 

B 发 送 密 文 ((10,2),(8,3)) 给 A。 

(4) A 收 到 密 文 后 ,解密 过 程 如 下 : 

M 一 Ci 一 AC: 一 (10,2) 一 7(8,3) 一 (10,2) 一 21r 一 (10,2) 一 8r 
(10,2) 十 5r 一 4r 十 5r 一 9r 一 (10,9) 
于 是 恢复 得 到 了 明文 M。 


6. ECC 的 特点 


相对 于 RSA 算法 ,ECC 算法 最 大 的 优点 是 它 可 以 用 较 短 的 密 钥 取得 与 RSA 算法 相 
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同 的 安全 性 ,经 RSA 实验 室 证 实 ,160 位 的 椭圆 曲线 密码 算法 相当 于 1024 位 的 RSA 算 
法 ,并 且 ECC-160 的 加 解密 速度 比 RSA-1024 快 5 一 8 倍 。 因 此 ,ECC 算法 可 有 效 减少 计 
算 开 销 , 这 对 于 那些 终端 处 理 能 力 较 弱 的 移动 电子 商务 尤其 适用 。 总 的 来 看 ,ECC 算法 
大 有 取代 RSA 算法 的 趋势 。 


25 公 铀 密码 体制 解决 的 问题 


对 称 密 码 体制 已 经 能 够 对 信息 很 好 地 进行 加 密 ,为 什么 还 需要 公 钥 密码 体制 呢 ? 公 
钥 密码 体制 仅仅 比 对 称 密 钥 密码 体制 多 用 了 一 个 密 钥 而 已 ,两 个 密 钥 比 一 个 密 钥 到 底 好 
在 哪里 呢 ? 本 节 将 回答 这 些 问 题 。 
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在 网 络 环境 中 ,通过 加 密 技术 可 防止 数据 的 机 密 性 遭受 破坏 。 发 送 方 如 果 对 明文 进 
行 了 加 密 , 那 么 攻击 者 截获 密 文 后 必须 先 解 密 才能 阅读 。 假 设 该 密码 算法 非常 安全 ,如 
AES, 攻 击 者 无 法 解密 ,那么 他 就 无 法 阅读 这 些 信息 。 实 际 上 ,攻击 者 也 无 法 修改 明文 的 
内 容 了 ,因为 要 修改 明文 的 内 容 必 须要 先 将 加 密 信息 解密 。 因 此 ,从 表面 上 看 ,通过 安全 
的 对 称 加 密 算法 似乎 能 够 很 好 地 保证 信息 的 机 密 性 和 完整 性 。 

但 事实 并 非 如 此 。 这 里 的 漏洞 在 于 : 发 送 方 将 加 密 信息 传递 给 接收 方 的 同时 ,为 了 
让 接收 方 能 够 解密 密 文 ,还 必须 将 密 钥 K 也 发 送 给 接收 方 ,这 个 过 程 如 图 2. 15 所 示 。 


生成 密 钥 K 

回 用 密 钥 K 加 密 的 密 文 合 
=? 窗 钥 K( 明 文 形式 ) 已 

发 送 方 A 接收 方 B 


三 一 > 问题 : 密 钥 可 能 被 窃取 


攻击 者 


2.15 传递 加 密 信息 的 一 般 过 程 


在 图 2. 15 中 ,如 果 密 钥 KK 以 明文 方式 传递 给 接收 方 , 就 有 可 能 被 攻击 者 窃取 。 一 旦 
窃取 成 功 ,攻击 者 可 以 解密 任何 用 该 密 钥 加 密 的 密 文 , 毫 无 安全 性 可 言 。 那 么 能 否 将 密 
钥 加 密 后 再 传送 呢 ? 这 也 是 不 可 行 的 。 

因为 将 密 钥 K 加 密 后 ,又 必须 将 加 密 密 钥 K 的 密 钥 K' 以 明文 形式 传递 给 B, 再 次 用 
其 他 密 钥 加 密 密 钥 玉 ' 也 是 一 样 ,这 样 总 会 有 一 个 密 钥 必须 以 明文 形式 传送 。 一 旦 该 密 钥 
被 窃取 ,攻击 者 就 可 以 解密 所 有 被 加 密 的 密 文 了 。 

可 见 , 如 果 使 用 传统 的 对 称 密码 体制 加 密 信 息 , 那 么 密 钥 交 换 ( 密 钥 的 分 发 ) 就 成 了 
一 个 不 可 逾越 的 难题 。 问 题 的 根源 在 于 Internet 环境 下 ,A 和 B 无 法 见面 ,不 可 能 亲手 
传递 密 钥 。 也 许 有 人 会 说 ,如 果 A 不 通过 网 络 , 而 通过 其 他 途径 (比如 发 短信 ) 将 密 钥 告 
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知 B, 那 么 网 络 上 的 窃听 者 也 无 法 窃取 到 ,这样 在 一 定 程度 上 似乎 可 以 解决 该 问题 。 但 
是 ,在 Internet 上 传递 信息 的 双方 通常 并 非 普 通 的 人 ,而 是 两 台 主 机 或 应 用 程序 (比如 
SSL 协议 中 的 浏览 器 和 服务 器 双方 ) ,它们 之 间 经 常 要 传递 加 密 的 数据 和 密 钥 ,而 它们 显 
然 是 不 会 发 短信 的 ,而 我 们 肯定 也 不 希望 采用 人 工 干预 的 方法 为 它们 之 间 传 递 密 钥 , 那 
样 加 密 的 协议 对 用 户 来 说 就 不 透明 了 ,增加 了 用 户 的 工作 量 。 

为 了 解决 这 个 问题 ,可 以 对 图 2. 15 中 一 般 的 加 密 过 程 进行 改进 。 如 果 发 送 方 要 发 
送 加 密 数 据 给 接收 方 ,必须 由 接收 方 生成 密 钥 ,再 传递 给 发 送 方 。 发 送 方 用 接收 方 提供 
的 密 钥 加 密 数 据 , 该 过 程 如 图 2. 16 所 示 。 这 样 一 来 ,发 送 方 获取 密 钥 是 为 了 加 密 , 而 攻 
击 者 获取 密 钥 是 为 了 解密 ,两 者 的 目的 不 同 。 


pa 
外用 密 钥 K 加 密 的 密 文 多 

三 a 对， 

全 一 @@ 密 钥 K( 明 文 形式 ) / 

发 送 方 A 接收 方 B 


FF 一 > 窃取 密 钥 为 了 解密 


获得 密 铀 | 
为 了 加 密 i 


2.16 ”改进 后 的 传递 加 密 信息 的 过 程 (第 一 步 ) 


而 将 公 钥 密码 体制 作为 加 解密 使 用 时 , 公 钥 只 能 用 来 加 密 数 据 , 而 不 能 用 来 解密 数 
据 。 因 此 ,在 上 面 接收 方 生成 密 钥 的 基础 上 ,进一步 假设 接收 方 生 成 的 是 一 对 公 钥 / 私 
钥 , 然 后 将 公 钥 传递 给 发 送 方 。 那 么 即使 攻击 者 窃取 到 该 公 钥 也 没有 用 ,因为 公 钥 不 能 
用 来 解密 信息 ,而 发 送 方 却 能 够 用 公 钥 来 加 密 信息 。 该 过 程 如 图 2. 17 所 示 。 


生成 公 钥 KUs 和 私 钥 KRs 
@ 用 公 钥 KUs 加 密 的 密 文 党 
三 ~ OI 
cB @ 公 铀 KUs (明文 形式 ) WW. 
发 送 方 A 接收 方 B 
上 一 > 公 钥 被 窃取 了 也 没有 用 
1 
攻击 者 


2.17 改进 后 的 传递 加 密 信 息 的 过 程 ( 第 二 步 ) 


这 样 ,发 送 方 用 接收 方 的 公 钥 加 密 信息 ,接收 方 用 该 公 钥 对 应 的 私 钥 解密 信息 ,攻击 
者 即使 截获 了 公 钥 也 不 能 解密 信息 ,从 而 就 解决 了 密 钥 在 分 发 过 程 中 可 能 被 窃取 前 
问题 。 

可 以 看 出 ,利用 公 钥 加 密 算法 解决 密 钥 安全 分 发 问题 的 关键 有 两 点 。 

(1) 线路 上 传输 的 必须 是 公 钥 。 

(2) 这 个 公 钥 必须 是 接收 方 的 。 


Ee, 
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提示 : 如 果 A、B 双方 需要 使 用 公 钥 加 密 算 法 相互 发 送 加 密 的 信息 给 对 方 , 则 必须 使 
用 两 对 公 钥 / 私 钥 , 即 A 用 也 的 公 钥 加 密 信 息 发 送 给 B,B 用 A 的 公 钥 加 密 信 息 发 送 
给 A。 

但 本 节 的 密 钥 分 配方 案 还 存在 一 个 问题 ,就 是 攻击 者 也 生成 一 对 公 钥 / 私 钥 , 然 后 把 
自己 的 公 钥 KU' 冒 充 接 收 方 B 的 公 钥 KU 发 给 发 送 方 ,发 送 方 没有 察觉 ,于 是 用 该 假冒 
的 公 钥 KU' 加 密 信息 ,攻击 者 就 能 用 其 对 应 的 私 钥 KR' 解 密 该 信息 了 。 

因此 , 公 钥 虽然 不 需要 保密 ,但 必须 保证 公 钥 的 真实 性 ,通常 可 以 使 用 数字 证 书 将 公 
钥 和 用 户 的 身份 绑 定 在 一 起 ,保证 该 公 钥 确实 是 某 个 用 户 的 。 关 于 数字 证 书 的 用 法 将 在 
第 6 章 中 介绍 。 


252 密码 系统 密 钥 管理 问题 


在 一 个 密码 系统 中 ,用 户 通 常 不 止 A 和 B 两 个 人 ,有 时 候 几 千 人 之 间 要 相互 发 送 加 
密 信息 ,能 否 使 用 对 称 密 钥 进行 操作 呢 ? 如 果 仔 细 分 析 一 下 就 会 发 现 , 随 着 服务 人 数 的 
增加 ,这 个 方法 有 很 大 的 缺点 。 

先 看 看 人 数 比 较 少 的 情况 ,假设 A 要 与 两 个 人 (B 和 C) 安 全 通信 ,A 能 否 用 同一 个 
密 钥 处 理 与 B 和 与 C 的 消息 ? 当然 这 是 不 行 的 ,否则 怎么 保证 B 不 会 打开 A 给 C 的 信 ， 
C 不 会 打开 A 给 B 的 信 ? 因此 ,A 为 了 和 两 个 人 安全 通信 ,必须 使 用 两 个 密 钥 (Kn 与 
Kac) ,如 果 B 要 与 C 通信, 则 要 另 一 个 密 钥 (Kec) ,因此 三 方 通信 的 话 需 要 3 个 密 钥 。 仔 
细 分 析 可 知 ,是 两 两 之 间 需 要 一 个 密 钥 。 

也 就 是 说 ,对 称 密码 系统 有 nn 个 人 需要 安全 通信 时 ,这 个 人 中 两 两 之 间 需 要 一 个 
密 钥 ,需要 的 密 钥 数 是 


nx(n— 1D) 
2 


即 密 钥 数 与 参与 通信 人 数 的 平方 约 成 正比 ,这 使 大 系统 的 密 钥 管 理 极为 困难 。 假 设 有 
1000 人 参加 ,那么 需要 的 密 钥 套数 是 1000X (1000 一 1)/2 王 499 500 个 。 并 且 每 个 用 户 
必须 记 住 与 其 他 ”一 1 个 用 户 通信 所 用 的 密 钥 ,例如 用 户 A 需 记 住 999 个 密 钥 。 

另外 ,这 么 多 密 钥 的 管理 和 必要 的 更 换 也 是 十 分 繁重 的 工程 ,这 是 必要 的 ,因为 有 些 
人 可 能 会 丢失 密 钥 ,或 者 需要 更 换 密 钥 。 这 个 工作 量 非常 大 。 而 且 密 钥 管 理 者 T 应 该 高 
度 可 信任 ,并 且 每 个 用 户 都 能 够 访问 到 它 ,因为 每 个 通信 对 都 要 从 工 取 得 密 钥 ,这 是 一 个 
麻烦 而 费时 的 过 程 。 

而 采用 公 钥 密码 系统 ,假设 A 要 与 个 人 进行 安全 通信 ,他 只 需 把 他 的 公 钥 发 布 出 
去 ,让 这 个 人 知道 就 可 以 了 ,也 就 是 说 ,A 与 个 人 之 间 安 全 通信 中 需要 一 对 密 钥 , 同 
样 ,B 与 n 个 人 之 间 安 全 通信 也 只 需要 一 对 密 钥 。 也 就 是 说 ,对 于 公 钥 密码 系统 ,及 个 
人 之 间 需 要 相互 安全 通信 时 ,只 需要 对 密 钥 即 可 , 密 钥 量 大 大 减少 。 

这 对 密 钥 中 的 私 钥 由 用 户 自己 保存 ,例如 ,对 于 用 户 A 来 说 ,即使 他 要 和 1000 人 
通信 ,他 也 只 需 保存 1 个 自己 的 私 钥 即 可 , 公 和 钥 则 由 专门 的 公 钥 管理 机 构 保 管 和 分 发 。 
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253 数字 签名 问题 


对 于 公 钥 密码 算法 来 说 ,一 般 的 加 密 机 制 是 : 

如 果 A 是 发 送 方 ,B 是 接收 方 , 则 A 用 己 的 公 钥 加 密 信息 ,并 将 其 发 送 给 B。 

下 面 考虑 男 外 一 种 机 制 : 

如 果 A 是 发 送 方 ,B 是 接收 方 , 则 A 用 A 的 私 钥 加 密 信息 ,并 将 其 发 送 给 B。 

这 个 机 制 有 什么 用 呢 ? 因为 A 的 公 钥 是 公开 的 ,任何 人 都 可 以 访问 ,因此 任何 人 都 
可 以 用 其 解密 A 加 密 的 信息 ,从 而 无 法 实现 保密 性 。 这 个 过 程 如 图 2. 18 所 示 。 


图 2.18 数字 签名 的 基本 原理 


的 确 如 此 ,但 A 用 自己 的 私 钥 加 密 信息 ,不 是 为 了 保密 消息 的 内 容 , 而 是 男 有 用 途 。 
有 什么 用 途 呢 ? 因 为 接收 方 B( 可 能 是 多 方 ) 收 到 用 A 的 私 钥 加 密 的 信息 ,就 可 以 用 A 的 
公 钥 解密 ,从 而 访问 明文 。 如 果 解 密 成 功 , 则 B 可 以 断定 这 个 消息 是 A 发 来 的 。 因 为 ,用 
A 的 私 钥 加 密 的 信息 只 能 用 A 的 公 钥 解密 , 反 过 来 说 ,用 A 的 公 钥 能 解密 成 功 就 证 明 消 
息 一 定 是 用 A 的 私 钥 加 密 的 。 而 A 的 私 钥 只 有 A 自己 知道 ,别人 不 可 能 冒充 和 用 人 A 的 
私 钥 加 密 信息 ,所 以 ,这 个 消息 一 定 是 A 发 来 的 。 另 外 ,如 果 今 后 发 生 争议 ,A 也 无 法 否 
认 自 己 发 了 消息 ,因为 B 可 以 拿 出 加 密 信息 ,用 A 的 公 钥 解密 ,从 而 证 明 这 个 消息 是 A 
发 来 的 。 这 就 是 数字 签名 , 它 可 以 实现 不 可 抵赖 性 的 安全 需求 。 

由 此 可 见 ,数字 签名 使 用 的 是 发 送 方 的 密 钥 对 。 发 送 方 用 自己 的 私 钥 进 行 加 密 , 接 
收 方 用 发 送 方 的 公 钥 进行 解密 ;这 是 一 个 一 对 多 的 关系 ,任何 拥有 发 送 方 公 钥 的 人 都 可 
以 验证 数字 签名 的 正确 性 。 数 字 签 名 的 作用 归纳 起 来 有 3 点 : 

(1) 消息 认证 ,证 实 某 个 消息 确实 是 由 某 个 用 户 发 出 的 。 

(2) 实现 不 可 抵赖 性 ,消息 的 发 送 方 不 能 否认 他 曾经 发 过 该 消息 。 

(3) 完整 性 保证 ,如 果 消 息 能 够 用 公 钥 解密 成 功 ,还 可 确信 消息 在 传输 过 程 中 没有 被 

以 上 只 是 数字 签名 的 基本 原理 。 在 实际 中 ,数字 签名 通常 不 是 对 消息 本 身 加 密 , 而 
是 对 消息 的 摘要 加 密 , 有 时 需要 使 签名 的 消息 具有 保密 性 ,这 就 需要 用 另 一 对 公 钥 / 私 钥 
中 的 公 钥 对 明文 再 做 一 次 加 密 。 这 些 将 在 第 3 章 中 详细 介绍 。 
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26 数字 信封 


虽然 公 钥 密码 体制 与 对 称 密码 体制 相 比 有 很 多 优点 ,比如 解决 了 对 称 密码 体制 中 的 
很 多 问题 ,但 它 并 不 能 取代 对 称 密码 体制 ,因为 公 钥 密码 体制 存在 一 个 严重 的 缺点 ,就 是 
加 、 解 密 速度 很 慢 。 例 如 ,512 位 模 数 的 RSA 算法 与 DES 算法 相 比 ,用 软件 实现 时 RSA 
大 约 比 DES 慢 100 倍 ,用 硬件 实现 时 RSA 大 约 比 DES 慢 1500 倍 。 表 2. 10 对 比 了 公 钥 
密码 体制 和 对 称 密码 体制 的 优 缺 点 。 


表 2.10 对 称 密 钥 加 密 与 公 钥 加 密 的 比较 


特 征 对 称 密 钥 加 密 公 钥 加 密 
加 密 / 解 密 所 用 密 钥 | 相同 不 同 
加 密 / 解 密 速 度 快 慢 
得 到 的 密 文 长 度 通常 等 于 或 小 于 明文 长 度 大 于 明文 长 度 
密 钥 交换 需 通过 安全 信道 传递 密 钥 可 通过 普通 信道 传递 公 钥 
系统 所 需 密 钥 总 数 ”| 大 约 与 参与 者 个 数 的 平方 成 正比 | 等 于 参与 者 的 个 数 
用 法 主要 用 于 加 密 /解密 主要 用 于 加 密 保护 对 称 密 钥 ,进行 数字 签名 


这 使 公 钥 密 码 算法 对 很 长 的 明文 信息 加 密 变 得 不 实际 ,于 是 人 们 想 出 了 用 对 称 密码 
体制 的 密 钥 加 密 明 文 , 而 用 公 钥 密码 体制 的 公 钥 加 密 这 个 对 称 密 钥 , 这 样 就 既 能 使 加 密 
有 很 高 的 效率 ,又 不 必 担 心 对 称 密 钥 在 传输 中 被 窃取 ,实现 了 两 全 其 美的 效果 。 

这 个 过 程 如 图 2. 19 所 示 , 具 体 是 : 信息 发 送 方 A 首先 利用 随机 产生 的 对 称 密 钥 (又 
称 为 会 话 密 钥 ) 加 密 信息 ,再 利用 接收 方 B 的 公 钥 加 密 该 对 称 密 钥 ,被 公 钥 加 密 后 的 对 称 
密 钥 被 称 为 数字 信封 。 由 于 综合 利用 了 对 称 密码 体制 和 公 钥 密码 技术 ,数字 信封 又 被 称 
为 混合 加 密 体 制 。 信 息 接收 方 要 解密 信息 时 ,必须 先 用 自己 的 私 钥 解 密 数 字 信封 ,得 到 
对 称 密 钥 ,再 利用 对 称 密 钥 解密 密 文 得 到 明文 信息 。 


图 2.19 数字 信封 的 工作 过 程 
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提示 : 在 实际 中 , 公 负 密码 体制 更 多 地 用 来 加 密 对 称 密码 体制 的 密 钥 ,而 不 是 加 密 普 
通 的 明文 信息 。 明 文 信息 一 般 用 对 称 密 角 加密。 此 时 对 称 密 钥 也 被 称 为 会 话 密 钥 ,为 了 
防止 攻击 者 截获 大 量 的 密 文 分 析出 会 话 密 钥 , 该 会 话 密 钥 需 要 经 常 更 换 。 


27 单 向 散 列 函数 


不 可 逆 加 密 体 制 又 称 为 单 向 密码 体制 , 它 是 一 个 从 明文 到 密 文 的 不 可 逆 变 换 , 也 就 
是 说 ,在 明文 到 密 文 的 转换 中 存在 信息 的 损失 ,因此 密 文 无 法 恢复 成 明文 。 单 向 散 列 函 
数 是 实现 不 可 逆 加 密 体制 的 主要 方法 。 

单 向 散 列 函数 用 于 某 些 只 需要 加 密 、 不 需要 解密 的 特殊 场合 。 例 如 ,为 保证 数据 文 
件 的 完整 性 ,可 以 使 用 单 向 散 列 函数 对 数据 生成 并 保存 散 列 值 ,用 户 要 使 用 数据 时 ,可 以 
重新 使 用 单 向 散 列 函 数 计算 散 列 值 ,如 果 与 以 前 生成 的 散 列 值 相等 ,就 说 明 数 据 是 完整 
的 ,没有 被 改动 过 ,否则 说 明 数 据 已 经 被 改动 了 。 

单 向 散 列 函 数 还 可 用 于 口令 存储 等 场合 ,这 时 系统 保存 的 是 口令 的 散 列 值 , 当 用 户 
进入 系统 时 输入 口令 ,系统 重新 计算 用 户 输入 口令 的 散 列 值 并 与 系统 中 保存 的 数值 相 比 
较 , 当 两 者 相等 时 ,说 明 用 户口 令 是 正确 的 。 使 用 单 向 散 列 函数 保存 口令 可 以 避免 口令 
以 明文 形式 保存 ,而 且 即 使 是 系统 管理 员 也 无 法 恢复 出 用 户口 令 的 明文 。 


271 单 向 散 列 函 数 的 性 质 


单 向 散 列 函数 必须 具有 以 下 几 条 基本 性 质 : 

(1) 函数 的 输入 (明文 ) 可 以 是 任意 长 度 。 

(2) 函数 的 输出 ( 密 文 ) 是 固定 长 度 的 。 

(3) 已 知 明文 交 , 求 及 (mm) 较 为 容易 ,可 用 硬件 或 软件 实现 。 

(4) 已 知 散 列 值 关 , 求 使 得 五 (xz) = 一刻 的 明文 天 在 计算 上 是 不 可 行 的 ,这 一 性 质 称 为 
函数 的 单 向 性 , 称 及 (m) 为 单 向 散 列 函数 。 

(5) 散 列 函数 具有 防伪 造 性 (又 称 弱 抗 冲突 性 ), 即 已 知 w, 找 出 m’(m 考 m) 使 得 
互 (0 ) 王 瓦 (0m) 在 计算 上 是 不 可 行 的 。 

(6) 散 列 函数 具有 很 好 的 抵抗 攻击 的 能 力 ( 又 称 强 抗 冲突 性 ), 即 找 出 任意 两 个 不 同 
的 输入 zx、y, 使 得 及 (y) 二 H(z) 在 计算 上 是 不 可 行 的 。 

提示 : 强 抗 冲 突 性 自然 包含 弱 抗 冲突 性 。 

第 (5) 和 第 (6) 个 性 质 给 出 了 散 列 函数 无 碰撞 性 的 概念 ,如 果 散 列 函 数 对 不 同 的 输入 
可 产生 相同 的 输出 , 则 称 该 函数 具有 碰撞 性 (collision)。 

单 向 散 列 函数 的 算法 一 般 是 公开 的 ,常见 的 单 向 散 列 函数 有 MD5 和 SHA-1, 散 列 函 
数 的 安全 性 主要 来 源 于 它 的 单 向 性 。MD5 的 散 列 码 长 度 是 128 位 ,而 SHA-1 的 散 列 码 
长 度 是 160 位 。 

近年 来 有 报道 称 已 可 以 在 24 小 时 内 找到 MD5 的 一 个 冲突 ,使 得 MD5 对 于 不 同 的 
输入 有 相同 的 输出 结果 ,因此 说 MD5 算法 已 经 被 破解 。 


第 全 让 码 # 地 


但 需要 注意 的 是 ,说 MD5 算法 被 破解 ,只 是 说 可 以 通过 密 文 找到 与 明文 有 相同 散 列 
值 的 一 个 碰撞 ,而 绝 不 是 说 可 以 将 MD5 算法 加 密 的 密 文 还 原 成 明文 。 即 对 于 单 向 散 列 
函数 来 说 ,破解 成 功 并 不 等 于 解密 成 功 。 单 向 散 列 函 数 可 以 被 破解 但 不 可 以 被 解密 。 


“272 对 散 列 函 数 的 攻击 


由 于 单 向 散 列 函数 接受 的 输入 长 度 是 任意 的 ,而 它 的 输出 长 度 是 固定 值 ,因此 单 向 
散 列 函 数 将 带 来 数据 的 压缩 , 单 向 散 列 函数 表 定 会 产生 碰撞 。 如 果 用 单 向 散 列 函 数 对 消 
息 求 散 列 值 ,是 不 希望 发 生 碰撞 的 ,否则 攻击 者 可 以 把 消息 修改 成 特定 的 模式 ,使 其 和 原 
始 消 息 具 有 相同 的 散 列 值 ,而 用 户 却 无 法 通过 计算 散 列 值 发 现 数 据 已 经 被 修改 ,因此 散 
列 函 数 又 称 为 数字 指纹 ,就 是 说 一 般 每 个 不 同 的 消息 都 有 其 独特 的 散 列 值 。 

对 单 向 散 列 函数 的 攻击 是 找到 一 个 碰撞 ,这 称 为 生日 攻击 , 它 包 括 两 类 ,分 别 对 应 攻 
击 散 列 函 数 的 弱 抗 冲突 性 和 强 抗 冲突 性 。 


1. 第 一 类 生日 攻击 


已 知 一 个 散 列 函数 五 有 ?7 个 可 能 的 输出 ,H(zx) 是 一 个 特定 的 输出 ,如 果 对 互 随机 
取 k 个 输入 , 则 至 少 有 一 个 输入 y 使 得 电 (y) 二 H(z) 的 概率 为 0.5 时 ,k 有 多 大 ? 

以 后 为 叙述 方便 , 称 对 散 列 函 数 五 寻找 上 述 > 的 行为 叫 作 第 一 类 生日 攻击 。 

因为 瓦 有 ?7 个 可 能 的 输出 ,所 以 输入 任意 值 y 产生 的 输出 互 (y) 等 于 特定 输出 值 
瑟 (z) 的 概率 是 1/n, 反 过 来 说 HH(y) 关 H(z) 的 概率 是 1 一 1/n。 如 果 任 意 取 kk 个 输入 
(yy ,yy%) ,计算 散 列 函数 旦 的 & 个 输出 ( 理 (y1), 昌 (yz),…, 昌 (yi)) 中 没有 一 个 等 
于 甩 (x) ,其 概率 等 于 每 个 输出 都 不 等 于 玉 (z) 的 概率 的 乘积 ,为 (1 一 1/n)*, 那 么 取 k 个 
输入 (yi,ys，… ,yi) 得 到 函数 五 的 & 个 输出 中 至 少 有 一 个 等 于 瑟 (z) 的 概率 为 1 一 (1 一 
1/n)*。 

根据 极限 定理 , 当 |z| 志 二 1 时 ,有 (1 十 x)* 宅 1 十 kr, 可 得 

1—(1—1/m ol1—(1—k/n)=k/n 

若 要 使 上 述 概率 等 于 0.5, 则 A 一 2z/2。 特 别 地 ,如 果 五 的 输出 为 m 位 长 ( 即 H 所 有 
可 能 的 输出 个 数 n 二 2”), 则 二 2”71!。 

因此 ,增加 散 列 函数 的 输出 位 数 (m) ,会 使 得 & 增 大 .可 见 , 散 列 函数 的 输出 位 数 产 
必须 足够 长 ,才能 抵抗 利用 穷 举 法 进行 的 第 一 类 生日 攻击 。 实 际 应 用 的 散 列 算法 的 散 列 
值 长 度 通常 在 128 位 以 上 。 


2. 第 二 类 生日 攻击 (基于 生日 悖 论 ) 


生日 悖 论 是 指 : 任意 找 23 个 人 , 则 他 们 中 有 两 个 人 生日 相同 的 概率 会 大 于 50%; 如 
果 有 30 人, 则 此 概率 大 约 为 70%, 这 比 我 们 凭 感觉 认为 的 概率 要 大 得 多 ,因此 称 为 生日 
悖 论 。 

将 生日 悖 论 推广 为 下 述 问 题 : 已 知 一 个 在 1 到 n 之 间 均 匀 分 布 的 整数 型 随机 变量 ， 
车 该 变量 的 个 取 值 中 至 少 有 两 个 取 值 相同 的 概率 大 于 0.5, 则 & 至少 多 大 ? 
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为 了 回答 这 一 问题 ,首先 定义 下 述 概率 : 设 有 上 个 整数 项 ,每 一 项 都 在 1 到 之 间 等 
可 能 地 取 值 , 则 个 整数 项 中 至 少 有 两 个 取 值 相同 的 概率 为 P(n,k)。 

因而 生日 悖 论 就 是 求 使 得 PC(365,k) 宇 0. 5 的 最 小 &, 为 此 首先 考虑 个 数据 项 中 任 
意 两 个 取 值 都 不 同 的 概率 , 记 为 Q(365,&) 。 如 果 &A>365, 则 不 可 能 使 得 任意 两 个 数据 都 
不 相同 ,因此 假定 三 365。& 个 数 中 任意 两 个 都 不 相同 的 所 有 取 值 方式 数量 为 


3651 
(365—k)! 


即 第 1 个 数 可 从 365 个 值 中 任 取 一 个 ,第 2 个 数 可 从 剩余 的 364 个 数 中 任 取 一 个 ,以 此 类 
推 , 最 后 一 个 数 可 从 365 一 k 十 1 个 值 中 任 取 一 个 。 而 个 数 任意 取 两 个 值 的 方式 总 数 为 
365*( 每 个 数 的 取 值 有 365 种 可 能 , 则 个 数 的 取 值 有 365* 种 可 能 )。 因 此 可 得 : 


365 X 364XX…X(365 一 & 十 1) 


3651 
， _ (365—pR! 3651 
人 3654 (365 一 &) 13654 
那么 至 少 有 两 个 取 值 相同 的 概率 就 是 任意 两 个 都 不 相同 的 概率 的 补 集 , 即 


3651 
(365 — k)1365* 


当 &A 一 23 时 ,P(365,23) 王 0. 5073, 即 上 述 问题 只 需 23 人 ,人 数 如 此 之 少 。 若 & 取 
100, 则 P(365,100) 王 0. 9999997, 即 获得 如 此 大 的 概率 。 之 所 以 称 这 一 问题 是 生日 悖 
论 ,是 因为 当 人 数 和 & 给 定时 ,得 到 至 少 有 两 个 人 生日 相同 的 概率 比 想象 的 要 大 得 多 。 

这 是 因为 在 & 个 人 中 考虑 的 是 任意 两 个 人 的 生日 是 否 相 同 ,在 23 个 人 中 可 能 的 情 
况 数 为 C3 二 253。 

一 般 地 , 令 PCnz,&) 过 0.5, 可 以 解 得 

k=1.18Vn Vn 

因此 可 知 , 设 散 列 函数 态 有 2” 个 可 能 的 输出 ( 即 输 出 长 为 m 位 ), 如 果 五 的 & 个 随 
机 输入 中 至 少 有 两 个 产生 相同 输出 的 概率 大 于 0.5, 则 k= 二 2™?。 称 寻找 函数 电 的 具有 相 
同 输出 的 两 个 任意 输入 的 攻击 方式 为 第 二 类 生日 攻击 。 

可 看 出 第 二 类 生日 攻击 比 第 一 类 生日 攻击 容易 ,因为 它 只 需要 寻找 2"? 个 输入 。 因 
此 抵抗 第 二 类 生日 攻击 (对 应 强 抗 冲突 性 ) 比 抵抗 第 一 类 生日 攻击 (对 应 弱 抗 冲突 性 ) 
要 难 。 

下 面 举 一 个 简单 的 例子 来 说 明 针对 散 列 函数 的 第 二 类 生日 攻击 的 方法 。 

假设 张 三 要 从 李 四 公司 购买 一 批 计 算 机 ,经 过 双方 协商 ,确定 5000 元 / 台 的 价格 ,于 
是 李 四 发 来 合同 的 电子 稿 请 求 张 三 签名 , 张 三 看 后 觉得 无 异议 ,就 对 该 合同 进行 签名 ,他 
先 计算 出 这 一 合同 文本 的 散 列 值 , 然 后 用 自己 的 私 钥 加 密 ( 进 行 签名 ) 并 发 回 给 李 四 , 表 
示 对 合同 样本 的 确认 。 

但 是 , 李 四 在 发 给 张 三 合 同样 本 前 ,首先 写 好 一 份 正确 的 合同 ,然后 标 出 这 份 合同 中 
无 关 紧 要 的 地 方 由 于 合同 总 是 由 许 许 多 多 的 句子 构成 ,而 这 些 句子 往往 可 以 有 很 多 
不 同 的 表达 方式 ,所 以 一 份 合同 总 可 以 有 很 多 不 同 的 写法 , 却 能 表达 相同 的 意思 。 那 么 
李 四 只 要 把 这 些 意思 相同 的 合同 都 列 为 一 组 ,然后 把 每 一 份 合同 中 的 单价 5000 元 改 成 
8000 元 ,并 且 把 修改 过 的 合同 也 集中 起 来 作为 另 一 组 ,这 样 他 的 手中 就 有 两 组 合同 : 一 


P(365,k) 一 1 一 Q(365,) 一 1 一 
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组 的 单价 条 款 是 5000 元 ,而 另 一 组 是 8000 元 。 然 后 , 李 四 只 要 把 这 两 组 合同 中 的 散 列 
值 全 都 计算 一 遍 , 从 中 挑 出 一 对 散 列 值 相同 的 ,把 这 一 对 当中 写 明 5000 元 的 合同 作为 合 
同样 本 给 张 三 , 并 交 由 张 三 签 名 ,而 自己 则 偷偷 把 那 份 8000 元 的 合同 藏 起 来 ,以 便 将 来 
进行 欺诈 。 

从 生日 攻击 的 理论 上 来 说 ,如 果 上 述 事 例 使 用 的 散 列 函 数 输出 的 散 列 码 只 有 64 位 ， 
那么 李 四 只 要 找到 合同 中 32 个 无 关 紧 要 的 地 方 , 来 分 别 构造 成 两 组 合同 ,就 有 0.5 以 上 
的 概率 能 在 这 两 组 合同 中 找到 碰撞 ,来 实现 他 的 欺诈 行为 。 
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1. 散 列 函 数 设计 举例 


先 举 个 例子 来 看 散 列 函数 该 如 何 设计 ,假设 要 设计 一 个 散 列 函数 对 数字 7 391 753 求 
散 列 值 , 则 可 以 将 数字 中 的 每 两 位 与 下 一 位 相 乘 ( 是 0 时 排除 ) ,再 忽略 乘积 中 的 第 一 位 。 

计算 过 程 如 下 : 

73X9 王 657; 丢 弃 第 一 位 ,得 57; 

57X1 一 057, 技 弃 第 一 位 ,得 57; 

57X7 一 399, 丢 弃 第 一 位 ,得 99; 

99X5 一 495 ,丢弃 第 一 位 ,得 95; 

95X3 二 285 ,丢弃 第 一 位 ,得 85。 

因此 得 到 的 散 列 值 是 85。 

当然 ,这 只 是 计算 散 列 值 的 一 个 举例 ,但 却 演示 了 实现 散 列 函数 的 基本 思想 。 实 际 
上 散 列 值 的 计算 是 非常 复杂 的 ,并 且 散 列 值 长 度 通常 要 在 128 位 以 上 ,以 对 抗 冲突 。 


2. 散 列 函 数 的 设计 原则 


一 个 好 的 散 列 函 数 的 设计 有 以 下 一 些 基 本 原则 : 

(1) 抗 冲突 性 。 对 不 同 的 输入 ,要 尽量 不 产生 相同 的 散 列 值 。 

(2) 扩散 性 。 两 个 明文 即使 具有 微小 的 差别 (如 只 有 一 位 不 同 ), 它 们 的 散 列 值 也 会 
有 很 多 位 都 发 生变 化 ,这样 根本 不 能 从 散 列 值 看 出 两 个 明文 的 相似 性 。 

例如 ,对 于 一 个 有 2150 字 节 的 文本 文档 yd. txt, 用 Hash. exe 程序 计算 出 它 的 MD5 
和 SHA-1 散 列 码 如 下 : 


MD5: C544B44 和 4122FFF9D3TE540B30F4774 
SHA- 1: 3B5F396CTCFFD263374B6236924CF4D187TFPFF92 


如 果 删 除 该 文档 中 一 个 字符 , 则 MD5 和 SHA-1 散 列 码 变 为 


MD5: 4 人 人生 9D83D63B20F3]E5F38D4938FF280 
SHA- 1: COSAEF3D8112783378SAA87AAA17R749486519%5 


如 果 再 在 该 文档 中 插入 一 个 其 他 字符 , 则 MD5 和 SHA-1 散 列 码 又 变 为 
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MD5: 96DB3382B9184BD7BCE14EB9307E52B5 

SHA- 1: C62D35CEAATOATIFCDS6400B76E065ED8C753663 

可 见 , 文 件 yd. txt 中 只 要 有 微小 的 差别 , 它 的 散 列 码 就 会 有 很 多 位 发 生变 化 ,说 明 
MD5 和 SHA-1 这 两 种 散 列 算法 都 具有 很 好 的 扩散 性 。 

(3) 将 明文 的 长 度 信息 附加 到 消息 中 ,再 求 散 列 值 , 可 以 更 好 地 防止 冲突 。 


3. MDS 散 列 算法 


MD5(Message-Digest 5) 算 法 是 由 RSA 的 创始 人 Rivest 设计 开发 的 ,该 算法 能 接收 
任意 长 度 的 明文 作为 输入 ,输出 是 128 位 的 散 列 值 。MD5 的 原理 如 图 2. 20 所 示 ,其 工作 
过 程 分 为 以 下 几 步 。 


Xx. y=Nx32 人 7 一 填充 
六 ye Nx32 位 12) | 
| 一 [A 
-| ~ 


消息 长 度 (K mod 2%) 


原始 消息 wo | 


上 —512b—=t—— 512b 一 1 | 一 512b 一 一 | 二 -一 你 2b 一 一 | 


128 位 摘要 


2.20 MDSs 产生 散 列 码 的 工作 过 程 


(1) 填充 。 

MD5 首先 在 原 消息 末尾 增加 填充 位 ,填充 位 使 用 一 个 1 位 和 多 个 0 位 ,如 
100000000…, 目 的 是 使 原 消息 的 长 度 等 于 一 个 值 , 即 比 512 位 少 64 位 , 剩 下 的 64 位 放 消 
息 的 长 度 信息 ,这 样 才 能 保证 明文 最 后 一 个 分 组 也 是 512 位 。 经 过 填充 后 ,消息 的 长 度 
为 448 位 ( 比 512 位 少 64 位 )、960 位 ( 比 1024 位 少 64 位 ) 等 。 注 意 填充 总 是 使 消息 长 度 
增加 ,如 果 消 息 长 度 正好 是 448 位 , 则 要 填充 512 位 ,因此 ,填充 的 长 度 值 范围 为 1 一 512。 

(2) 添加 消息 的 长 度 信息 。 

先 计算 消息 的 原始 长 度 , 即 填充 之 前 的 长 度 , 不 包括 填充 位 。 例 如 , 原 消息 长 度 为 
1000 位 , 则 将 这 个 长 度 表 示 为 64 位 的 二 进 制 值 。 如 果 消 息 长 度 超过 2* 位 ( 即 消 息 太 长 ， 
64 位 无 法 表示 ), 则 只 用 长 度 的 二 进 制 数 的 低 64 位 。 

(3) 将 消息 分 成 512 位 的 分 组 。 

经 过 前 两 步 之 后 ,消息 的 长 度 正好 是 512 的 倍数 ( 设 为 工 售 ), 因 此 可 以 将 其 分 成 L 
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个 512 位 的 分 组 。 记 为 YY Yi_i。 

(4) 将 分 组 再 分 成 16 位 的 子 分 组 。 

MD5 在 进行 分 组 处 理 时 ,将 每 一 个 512 位 的 分 组 又 分 为 16 个 32 位 的 子 分 组 ,经 过 
一 系列 的 处 理 后 ,算法 的 输出 由 4 个 32 位 的 分 组 组 成 ,最 后 级 联 后 生成 一 个 128 位 的 散 
列 值 。 


274 散 列 函数 的 分 类 
1. 根据 是 否 使 用 密 钥 分 类 


散 列 函数 根据 是 否 使 用 密 钥 分 为 带 密 钥 和 不 带 密 钥 两 种 。 

1) 带 密 钥 的 散 列 函数 

消息 的 散 列 值 由 只 有 通信 双方 知道 的 密 钥 K 来 控制 。 此 时 , 散 列 码 称 作 MAC 
(Message Authentication Code, 消 息 认 证 码 ) ,其 原理 如 图 2.21 所 示 。MAC 通常 用 来 对 


消息 进行 认证 。 
厌 散 列 函 数 消息 摘要 MAC 
文 f 


-一 / 密 钥 K 


2.21 MAC 原理 示意 图 


MAC 的 实现 的 一 个 简单 方法 是 : 先 对 消息 求 散 列 值 ,再 用 一 个 对 称 密 钥 加 密 该 散 列 
值 ,这 样 ,接收 方 必须 知道 该 对 称 密 钥 才 能 够 提取 这 个 散 列 值 ,并 将 该 散 列 值 与 对 消息 求 
出 的 散 列 值 进行 比较 。 

由 于 散 列 函数 并 不 是 专 为 MAC 而 设计 的 , 它 不 使 用 密 钥 ,并 不 能 直接 构造 MAC。 
于 是 人 们 想 出 了 将 密 钥 直接 加 到 原文 中 再 求 散 列 值 的 方法 构造 MAC ,传输 前 把 密 钥 及 
移 去 ,如 图 2. 22 所 示 。 这 种 方案 的 一 种 实现 叫 作 HMAC。 


原 
-J .本 如 
[ 密 钢 | 多 = 一 | 广 | 
艇 列 生 狼 ) 一 MAC MAC | 一 一 一 一 一 一 比较 


2.22 将 密 钥 加 到 原文 中 求 MAC 示意 图 


2) 不 带 密 钥 的 散 列 函数 

消息 散 列 值 的 产生 无 须 使 用 密 钥 ,任何 人 都 可 以 使 用 公开 的 散 列 函数 算法 对 散 列 值 
进行 验证 ,这 就 是 普通 的 散 列 函数 。 此 时 . 散 列 值 称 作 MDC (Manipulation Detection 
Code, 算 改 检验 码 )。MDC 通常 用 来 检测 文件 或 报 文 的 完整 性 。 
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2. 根据 散 列 函数 使 用 的 算法 分 类 
根据 散 列 函 数 使 用 的 算法 ,目前 的 散 列 函数 主要 有 MD5 SHA-1 和 RIPEMD 等 。 


275 散 列 链 


散 列 链 的 概念 和 方法 由 美国 数学 家 Lamport 提出 ,最 初 用 于 一 次 性 口令 机 制 。 但 由 
于 散 列 链 同 时 具有 类 似 于 公 钥 技术 的 单 向 性 和 散 列 函数 计算 的 高 效率 ,使 它 很 快 被 应 用 
到 各 种 密码 学 系统 中 。 目 前 散 列 链 最 常见 的 应 用 包括 前 向 安全 数字 签名 、 身 份 认 证 协议 
和 基于 散 列 链 的 微 支 付 协 议 等 。 

散 列 链 可 以 通过 很 小 的 运算 代价 提供 良好 的 安全 性 或 认证 机 制 (将 散 列 链 和 普通 数 
字 签 名 结合 在 一 起 还 可 构造 一 条 承诺 链 ) 。 目 前 有 大 量 的 研究 集中 于 将 散 列 链 技术 用 于 
各 种 具体 应 用 , 散 列 链 已 成 为 微 支付 、 移 动 电子 商务 安全 .电子 拍卖 等 应 用 中 的 一 项 关键 
技术 。 

散 列 链 的 概念 可 定义 如 下 : 

构造 长 度 为 工 的 散 列 链 ,首先 选 择 一 个 随机 数 s(s 称 为 种 子 值 ) ,用 某 个 单 向 散 列 函 
数 几 重复 计算 T 次 ,得 到 包含 工 个 散 列 值 的 序列 : 

Ssh Cs) hi Cs) (Cs TS) ATCs) 
其 中 ,s 称 为 散 列 链 的 “ 根 ”。 根 据 单 向 散 列 函 数 的 性 质 , 显 然 ,已 知 h7(s), 但 不 知道 ;， 
就 不 能 计算 出 Az: (5); 而 已 知 h71(s), 则 能 很 容易 地 计算 出 h7(s), 因 为 h7(s) 二 
(A 

一 般 情况 下 ,应 用 散 列 链 都 是 遵循 如 下 过 程 : 首先 ,将 散 列 链 的 根 节点 is) 安全 地 
分 发 ( 即 首次 初始 化 ) ,这 一 般 通 过 两 种 方式 ,一 是 手工 方式 , 另 一 种 是 使 用 公 钥 签名 方 
式 , 对 于 网 络 通信 来 说 ,实际 上 只 能 采用 后 一 种 方式 ,否则 无 法 保证 其 真实 性 。 然 后 ,从 
h™1(s) 开 始 , 散 列 链 上 的 散 列 值 被 依次 释放 直到 到 达 种 子 值 ;。 此 时 ,一 条 散 列 链 就 被 用 
尽 。 如 果 需 要 ,可 按 上 述 方式 重新 构造 男 一 条 散 列 链 , 不 同 点 在 于 需要 一 个 新 的 随机 种 
子 值 来 重新 初始 化 系统 。 

散 列 链 存 在 长 度 上 的 限制 , 当 链 上 的 散 列 值 被 用 尽 以 后 ,需要 生成 新 的 散 列 链 ,这 称 
为 散 列 链 的 更 新 。 散 列 链 更 新 的 过 程 通常 是 : 首先 重新 寻找 一 个 随机 数 ; 作为 散 列 链 的 
根 , 然 后 将 * 用 私 钥 签 名 后 提交 给 认证 方 进 行 认 证 。 由 于 散 列 链 的 更 新 一 般 都 要 使 用 公 
钥 签名 技术 ,如果 频繁 更 换 新 的 散 列 链 ,大 量 的 公 钥 签名 算法 将 严重 有 损 系 统 的 效率 。 

如 果 能 够 在 散 列 链 被 用 尽 后 自动 使 用 另 一 个 随机 数 作为 散 列 链 的 根 ,并 且 能 够 计算 
出 散 列 链 的 根 , 则 称 该 散 列 链 具 有 自 更 新 性 。 散 列 链 的 有 限 长 度 限制 问题 随 着 散 列 链 应 
用 的 广泛 也 日 益 突出 。 目 前 一 般 使 用 公 钥 技术 来 实现 散 列 链 的 自 更 新 性 ,但 这 样 又 使 散 
列 链 丧 失 了 计算 高 效率 的 优势 。 


| 
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习 是 
1. 图 2.3 中 的 棋盘 密码 属于 ( 和 
A. 单 表 替代 密码 B. 多 表 替 代 密 码 
C. 置换 密码 D. 以 上 都 不 是 
2 ) 攻 击 不 修改 消息 的 内 容 。 
A. 被 动 B. 主动 C. 都 是 D. 都 不 是 
3. 在 RSA 中 , 若 取 两 个 质数 p= 二 7.g 二 13, 则 其 欧 拉 函数 %(z) 的 值 是 ( i 
A. 84 B. 72 C. 91 及 112 
4. RSA 算法 建立 的 理论 基础 是 ( Rs 
A. 替代 和 和 置换 B. 大 数 分 解 C. 离散 对 数 D. 散 列 函数 


5. 数字 信封 技术 是 结合 了 对 称 密码 技术 和 公 钥 密码 技术 优点 的 一 种 加 密 技 术 , 它 解 
决 了 ( ) 的 问题 。 
A. 对 称 密码 技术 密 钥 管 理 困难 B. 公 钥 密码 技术 分 发 密 钥 困难 
C. 对 称 密码 技术 无 法 进行 数字 签名 D. 公 钥 密码 技术 加 密 速度 慢 
6. 生成 数字 信封 时 ,我 们 用 ( ) 加 密 ( i 
A. 一 次 性 会 话 密 钥 ,发 送 方 的 私 钥 B. 一 次 性 会 话 密 钥 ,接收 方 的 私 钥 
C. 发 送 方 的 公 钥 ,一 次 性 会 话 密 钥 D. 接收 方 的 公 钥 ,一 次 性 会 话 密 钥 
7. 如 果 发 送 方 用 自己 的 私 钥 加 密 消息 , 则 可 以 实现 ( $s 


A. 保密 性 B. 保密 与 鉴别 C. 保密 而 非 鉴别 ” D. 鉴别 
8. 如 果 A 要 和 B 安全 通信 , 则 B 不 需要 知道 ( Ys 
A. A 的 私 钥 B. A 的 公 钥 C. B 的 公 钥 D. B 的 私 钥 
9. 通常 使 用 ( ) 验 证 消息 的 完整 性 。 
A. 消息 摘要 B. 数字 信封 
C. 对 称 解 密 算法 D. 公 钥 解密 算法 
10. 两 个 不 同 的 消息 摘要 具有 相同 散 列 值 时 , 称 为 ( Ps 
A. 攻击 B. 冲突 C. 散 列 D. 签名 
于 ) 可 以 保证 信息 的 完整 性 和 用 户 身份 的 确定 性 。 
A. 消息 摘要 B. 对 称 密 钥 C. 数字 签名 D. 时 间 截 
12. 与 对 称 密 钥 加 密 技术 相 比 , 公 钥 加 密 技 术 的 特点 是 ( s 
A. 密 钥 分 配 复杂 B. 密 钥 的 保存 数量 多 
C. 加 密 和 解密 速度 快 D. 可 以 实现 数字 签名 
13. 正 整数 ”的 是 指 小 于 n 并 与 n 互 素 的 非 负 整数 的 个 数 。 
14. 时 间 截 是 一 个 经 加 密 后 形成 的 凭证 文档 , 它 包 括 需 的 文件 的 摘要 、DTS 
收 到 文件 的 日 期 和 时 间 和 3 个 部 分 。 


15. 请 将 下 列 常见 密码 算法 按照 其 类 型 填 人 相应 单元 格 中 。 
© RSA; @ MD5; @ AES; @ IDEA; ® DES; @ Diffie Hellman; © DSA; 


@ SHA-1; @ ECC; @ SEAL 


对 称 ( 分 组 ) 密 码 算法 流 密码 公 钥 密码 算法 散 列 算法 


16. 对 于 自 同步 流 密码 ,如 果 密 钥 流 不 是 与 密 文 相关 ,而 是 与 明文 相关 (例如 先 用 种 
子 密 钥 作为 密 钥 流 的 前 几 个 密 钥 字符 ,再 用 明文 序列 作为 密 钥 流 接 下 来 的 密 钥 字 符 ) ,会 
产生 什么 问题 ? 

17. 利用 扩展 的 欧 几 里 得 算法 求 28 mod 75 的 乘法 道 元 。 

18. 求 23 mod 11= , 求 模 43 的 所 有 本 原 根 。 

19. 在 一 个 使 用 RSA 的 公 钥 密码 系统 中 ,如 果 截 获 了 发 给 一 个 其 公开 密 钥 是 e 一 5， 
?一 35 的 用 户 的 密 文 c< 二 10, 则 明文 m 是 什么 ? 

20. 在 ElGamal 密码 体制 中 , 设 素数 p= 二 71, 本 原 元 二 7。 

Q@ 如 果 接 收 方 B 公 钥 y==3, 发 送 方 A 选择 的 随机 整数 > 一 2, 求 明文 m= 二 30 所 对 应 
的 密 文 二 元 组 (ci ,cz)。 

@ 如 果 发 送 方 A 选择 另 一 个 随机 整数 ,使 得 明文 m= 二 30 加 密 后 的 密 文 (cc ) 一 
(59,cs), 求 62。 

21. ECC 的 理论 基础 是 什么 ? 它 有 何 特 点 ? 

22. 已 知 椭圆 曲线 方程 为 Es(16,10) 和 它 上 面 的 一 个 点 G 二 (5,10) ,计算 G 的 所 有 
售 和 点 。 

23. 公 钥 密码 体制 的 加 密 变 换 和 解密 变换 应 满足 哪些 条 件 ? 

24. 在 电子 商务 活动 中 为 什么 需要 公 钥 密码 体制 ? 

25. 小 明 想 出 了 一 种 公 钥 加 密 的 新 方案 ,他 用 自己 的 公 钥 加 密 信息 (并 且 将 自己 的 公 
钥 也 严格 保密 ) ,然后 将 自己 的 私 钥 传 给 接收 方 , 供 接 收 方 解 密 用 。 请 问 这 种 方案 存在 什 
么 缺陷 吗 ? 

26. MAC 与 消息 摘要 有 什么 区 别 ? 


在 工作 中 ,人 们 经 常 需要 对 文件 进行 签名 ,签名 无 非 出 于 以 下 3 种 目的 : @ 认 证 。 如 
果 某 人 写 了 一 份 文件 ,希望 其 他 人 确信 该 文件 来 自 他 ,他 可 以 在 文件 上 签名 。 包 批准 和 
负责 。 比 如 人 们 需要 办 理 某 种 业务 (如 刷卡 消费 .支取 存款 ) 时 ,营业 员 会 要 求 经 办 人 签 
名 ,这 是 为 了 防止 经 办 人 以 后 抵赖 ,因为 一 旦 签名 就 表明 该 项 业务 得 到 了 经 办 人 的 批准 ， 
并 且 由 经 办 人 承担 责任 。@@ 有 效 。 人 们 有 时 经 常 请 求 领导 或 上 级 对 某 份 文件 签名 或 签 
章 , 用 来 表明 该 份 文件 是 有 效力 和 权威 的 ,以 获得 机 构 内 其 他 人 的 认可 。 


31 数字 签名 概 录 


对 签名 的 基本 要 求 是 无 法 伪造 、 容 易 认 证 和 不 可 抵赖 。 手 写 签名 一 般 通过 某 人 特有 
的 笔迹 实现 以 上 3 个 特点 。 例 如 ,有 些 领 导 为 了 让 自己 的 签名 无 法 伪造 ,也 为 了 让 其 他 
人 容易 鉴别 ,一 般 把 签名 签 得 很 有 特色 ,其 他 人 模仿 不 出 ,就 是 这 个 原因 。 而 数字 签名 和 
写 签名 的 功能 非常 类 似 , 好 的 数字 签名 比 手写 签名 更 能 够 防止 别人 伪造 。 因 此 ,包括 
我 国 在 内 的 很 多 国家 都 设立 了 电子 签名 法 ,承认 数字 签名 和 手写 签名 具有 同等 的 法 律 
效力 。 
不 仅 如 此 ,通过 数字 签名 还 能 实现 认证 机 制 , 如 果 一 份 消息 附带 有 某 人 的 数字 签名 ， 
那么 可 以 确信 该 消息 确实 是 从 该 用 户 处 发 出 的 ,而 不 是 其 他 人 伪造 的 。 因 此 ,可 以 说 数 
字 签 名 是 连接 加 密 技术 和 认证 技术 的 桥梁 。 


311 数字 签名 的 特点 


传统 签名 的 基本 特点 有 : 与 被 签 的 文件 在 物理 上 不 可 分 割 ;签名 者 不 能 否认 自己 的 
签名 ;签名 不 能 被 伪造 ;签名 容易 被 验证 。 

而 数字 签名 是 传统 签名 的 数字 化 , 它 也 具有 传统 签名 的 这 4 个 特点 ,表现 为 : 签名 能 
与 所 签 文件 * 绑 定 ”; 签名 者 不 能 否认 自己 的 签名 ;签名 容易 被 自动 验证 ;签名 不 能 被 
伪造 。 

而 进行 数字 签名 通常 也 是 为 了 确认 以 下 两 点 : 

(1) 信息 是 由 签名 者 发 送 的 。 
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(2) 信息 自 签发 后 到 收 到 为 止 未 曾 作 过 任何 修改 。 

总 的 来 说 ,数字 签名 应 具备 以 下 几 个 特点 : 

(1) 签名 是 可 以 被 确认 的 , 即 收 方 可 以 确认 或 证 实 签 名 确实 是 由 发 方 签名 的 。 

(2) 签名 是 不 可 伪造 的 , 即 收 方 和 第 三 方 都 不 能 伪造 签名 (Cunforgeable) 。 

(3) 签名 不 可 重用 , 即 签名 是 和 消息 绑 定 在 一 起 的 ,不 能 把 签名 移 到 其 他 消息 ( 文 
从 5 

(4) 签名 是 不 可 抵赖 的 , 即 发 方 不 能 否认 他 所 签发 的 消息 。 

(5) 第 三 方 可 以 确认 收发 双方 之 间 的 消息 传送 但 不 能 算 改 消息 。 

如 果 客 户 愿 意 支付 某 一 账单 ,最 好 的 办 法 就 是 要 他 在 账单 上 签名 ,这 样 他 以 后 就 不 
能 否认 同意 支付 的 行为 了 。 如 果 要 让 其 他 人 确信 某 个 文件 是 由 某 人 发 出 的 并 且 在 他 们 
收 到 之 前 没有 被 算 改 过 ,最 好 的 办 法 就 是 该 人 对 这 份 文 件 签 名 。 


312 数字 签名 的 过 程 


我 们 知道 ,最 简单 的 数字 签名 就 是 发 送 方 将 整个 消息 用 自己 的 私 钥 加 密 , 接 收 方 用 
发 送 方 的 公 钥 解密 ,解密 成 功 就 可 验证 确实 是 发 送 方 的 签名 。 

但 这 种 方法 存在 一 个 缺陷 ,就 是 被 签名 的 文件 或 消息 可 能 很 长 。 由 于 公 钥 加 密 运算 
速度 慢 的 原因 ,如 果 将 整个 文件 都 用 私 钥 加 密 , 则 加 密会 非常 耗 时 而 不 可 行 。 因 此 ,在 实 
际 中 一 般 是 先 对 消息 用 散 列 函 数 求 消息 摘要 ( 散 列 值 ) ,然后 发 送 方 用 其 私 钥 加 密 该 散 列 
值 ,这 个 被 发 送 方 私 钥 加 密 的 散 列 值 就 是 发 送 方 的 数字 签名 ,将 其 附 在 文件 后 ,一 起 发 送 
给 接收 方 就 可 以 让 其 验证 签名 了 。 

验证 签名 时 ,接收 方 先 用 发 送 方 的 公 钥 解密 数字 签名 ,然后 将 提取 到 的 散 列 值 与 自 
己 计算 该 文件 的 散 列 值 相 比较 ,如 果 相 同 就 表明 该 签名 是 有 效 的 。 整 个 过 程 如 图 3. 1 所 
示 。 这 样 攻击 者 虽然 能 截获 并 阅读 消息 (消息 是 明文 形式 ), 但 不 能 修改 消息 内 容 或 将 消 
息 换 成 其 他 消息 ,因为 其 他 消息 的 散 列 值 和 该 消息 的 散 列 值 是 不 同 的 ,接收 方 能 通过 验 
证 签名 发 现 。 
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图 3.1 数字 签名 的 基本 过 程 


图 3. 1 的 数字 签名 方案 虽然 解决 了 公 钥 密码 体制 加 密 长 消息 速度 慢 的 问题 ,但 又 产 
生 了 一 个 新 的 问题 , 那 就 是 消息 以 明文 形式 传输 ,无 法 实现 消息 的 保密 性 。 如 果 对 消息 


人 合 = 数字 签名 


有 保密 性 要 求 , 则 可 以 不 直接 发 送 明文 和 数字 签名 ,而 是 将 明文 和 数字 签名 的 组 合体 用 
一 个 对 称 密 钥 加 密 , 再 将 加 密 后 的 组 合体 以 及 对 称 密 钥 的 数字 信封 发 送 给 接收 方 ,如 
图 3. 2 所 示 。 这 种 方式 是 将 数字 签名 与 数字 信封 技术 结合 在 了 一 起 ,实现 了 带 有 保密 性 
要 求 的 数字 签名 。 


3.2 带 有 保密 性 要 求 的 数字 签名 方案 (省 略 了 数字 签名 过 程 ) 


注意 : 带 有 保密 性 的 数字 签名 使 用 了 两 对 公 钥 / 私 钥 。 这 是 因为 公 角 密码 体制 如 果 
作为 数字 签名 使 用 , 则 无 法 同时 实现 保密 性 ;反之 ,如 果 作 为 加 解密 使 用 , 则 无 法 同时 实 
现 签名 。 如 果 要 用 公 负 密码 体制 同时 实现 数字 签名 和 加 密 , 则 需要 使 用 两 次 公 角 密码 算 
法 ,一 次 用 于 加 密 , 另 一 次 用 于 签名 。 这 需要 两 对 公 钥 / 私 钥 才能 实现 ,一 对 是 发 送 方 的 ， 
另 一 对 是 接收 方 的 。 


32 数字 签名 的 算法 实现 


理论 上 讲 , 只 要 是 双向 可 逆 的 公 钥 加 密 算法 都 能 用 于 实现 数字 签名 ,常见 的 数字 签 
名 算法 有 RSA、ElGamal、ECC 等 。 下 面 分 别 介绍 使 用 RSA、ElGamal 和 Schnorr 实现 数 
字 签 名 的 算法 。 


321 RSA 数 字 签名 算法 


设 RSA 算法 的 私 钥 为 d, 公 钥 为 (e.n), 则 RSA 签名 算法 的 思想 就 是 : 签名 者 用 自 
己 的 私 钥 & 加 密 文件 摘要 ,其 他 人 用 签名 者 的 公 钥 e 就 可 以 验证 签名 。 


1. 签名 过 程 


用 户 A 对 消息 M 进行 签名 ,他 先 计算 M 的 摘要 互 CM) ,再 用 自己 的 私 钥 d 签名 : 
SA = Sig(H(MW) = (H(M))’ mod 7 
然后 将 SA 附 在 消息 M 后 作为 用 户 A 对 消息 M 的 签名 。 
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2. 验证 签名 过 程 


如 果 其 他 用 户 要 验证 A 对 消息 M 的 签名 ,其 他 用 户 用 A 的 公 钥 e 计算 
M 一 SA modn 
如 果 M 与 M 相等 , 则 相信 签名 确实 是 用 户 A 所 产生 的 。 可 见 ,RSA 签名 算法 的 计 
算 过 程 就 是 RSA 加 密 算法 的 逆 过 程 。 


3. RSA 数字 签名 的 注意 事项 


如 果 用 RSA 算法 实现 数字 签名 ,一 定 要 先 对 消息 求 消息 摘要 ,再 用 私 钥 签名 ;或 者 
签名 的 密 钥 对 专门 用 于 签名 ,而 用 另外 一 对 公 钥 / 私 钥 对 进行 加 /解密 。 

这 是 因为 ,签名 者 的 公 钥 e 和 n 是 公开 的 ,攻击 者 如 果 截 获 别 人 发 给 签名 者 的 密 文 
cCc 是 别人 用 签名 者 的 公 钥 e 加 密 得 到 的 , 即 c= 二 mx mod 2) , 则 攻击 者 可 以 任意 选择 一 个 
小 于 n 且 与 n 互 素 的 数 r ,计算 

T=r“modn, y=xc modn 
将 > 发 给 签名 者 请 其 签名 ,如果 签 名 者 随 随便 便 就 用 自己 的 私 钥 d 给 攻击 者 发 来 的 > 签 
名 , 即 


u= y modn 
则 攻击 者 得 到 签名 x 后 ,就 可 以 轻而易举 地 恢复 出 c 对 应 的 明文 mw。 他 首先 计算 x 的 乘 
法 道 元 4, 即 :一 一 : mod n, 青 把 t 和 w 相 乘 即 得 到 ,这 是 因为 
MU= ry modn 
= (rx) modn=r rc modn 


lkomtl ed 


= ed mod n= 7 modn 


=rir modn=c modn=m 
而 如 果 先 对 消息 > 求 消息 摘要 互 (y) 再 签名 则 不 存在 该 问题 ,或 者 签名 和 加 密使 用 
不 同 的 密 钥 对 也 能 避免 该 问题 。 


322 ”日 Ganal 数字 签名 算法 


ElGamal 数字 签名 算法 是 一 种 非 确定 性 的 签名 方案 , 它 需 要 使 用 随机 数 , 但 ElGamal 
数字 签名 算法 的 运算 过 程 并 非 是 EIGamal 加 密 算法 的 逆 过 程 。 


1. 用 户 选择 密 钥 


系统 先 选取 一 个 大 素数 p 及 p 的 本 原 根 a ,用 户 A 选择 一 个 随机 数 z(1 入 xz 委 /一 1) 
作为 自己 的 私 钥 , 计 算 > 一 az mod p, 将 y 作为 自己 的 公 钥 。 整 个 系统 公开 的 参数 有 大 素 
数 p、 本 原 根 a 以 及 每 个 用 户 的 公 钥 ;而 每 个 用 户 的 私 钥 x 则 严格 保密 。 


2. 签名 过 程 


给 定 消息 M, 用 户 A 进行 下 述 计算 来 实现 签名 。 
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(1) 选择 随机 数 &EZ; , 且 k 有 与 p 一 1 互 素 (注意 : 随机 数 & 需 要 保密 ) 。 
(2) 签名 方 A 对 消息 M 进行 散 列 压缩 后 得 到 消息 散 列 码 互 C(M) ,再 计算 
r=atmodp 
s=(H(M)— zxr)k! mod (p—1) 
将 (r,s) 作 为 用 户 A 对 消息 M 的 数字 签名 ,与 消息 M 一 起 发 送 给 接收 方 。 
3. 验证 签名 的 过 程 
接收 方 B 在 收 到 消息 M 与 数字 签名 (r,s) 后 , 先 计算 消息 M 的 散 列 码 五 C(M) 。 然 后 
计算 
yi mod 旋 一 aao0 modp 
如 果 上 式 成 立 , 则 可 确信 (r,s) 为 有 效 签名 ,否则 认为 签名 是 伪造 的 。 
4. 证 明 验 证 签名 的 正确 性 
车 (r,s) 为 合法 用 户 采 用 ElGamal 数字 签名 算法 对 消息 M 的 签名 , 则 


yr = (a)(at)’: =a modp 
又 因为 
s= (H(M)— zr)k! mod (p—1) 
两 边 乘 & 再 移 项 得 
ks++zxr = H(M) mod (p—1) 
根据 模 运 算 规则 有 


amtk 一 aHMW mod (pl) mod p 


由 费 马 定理 的 推论 ,a 三 a*"”™ wD? mod p, 将 上 替换 成 昌 (M), 有 
a™te 一 aH™W mod p 
因此 有 


Wr ar modp 


5. ElIGamal 数字 签名 过 程 举 例 


(1) 用 户 A 对 消息 M 进行 签名 。 

设 系统 选取 素数 p 二 19, 本 原 根 4a 二 13。 用 户 A 选择 整数 x 二 10 作为 自己 的 私 钥 ,经 
计算 可 得 用 户 A 的 公 钥 > 一 6。 

如 果 用 户 需 要 对 消息 M 的 散 列 码 瓦 C(M) 二 15 进行 签名 ,首先 ,用 户 A 选择 一 个 随机 
数 & 一 11, 然 后 求 出 & 的 乘法 逆 元 : 

k=5 mod19 
然后 ,用 户 A 计算 
r=atmodp=13!* mod19=2 
接着 ,用户 A 再 计算 
s= (HC(M) — xr)k! mod (p—1)=5X(15—10X2)(mod 18)= 11 
用 户 A 把 元 组 (r,s) 一 (2,11) 作 为 自己 对 互 CM) 一 15 的 消息 的 签名 。 


(2) 接收 方 B 验证 签名 时 只 需 计 算 
modp 一 62X20mod19 一 8 
aW mod 旋 一 135 mod 19 一 8 
两 者 相等 , 则 认为 (2,11) 是 用 户 A 对 消息 M 的 有 效 签名 。 


6. ElGamal 数字 签名 算法 的 安全 性 


ElGamal 数字 签名 算法 在 安全 性 方面 有 以 下 特点 。 

(1) ElGamal 数字 签名 算法 是 一 个 非 确定 性 的 数字 签名 体制 ,对 同一 个 消息 M 所 产 
生 的 签名 依赖 于 随机 数 &。 

(2) 由 于 用 户 的 签名 私 钥 x 是 保密 的 ,攻击 者 要 从 公 钥 y 推导 出 私 钥 x 等 价 于 求解 
离散 对 数 的 困难 性 ,因此 ElIGamal 数字 签名 体制 的 安全 性 是 建立 在 求解 离散 对 数 的 困难 
性 上 的 。 

(3) 在 签名 时 使 用 的 随机 数 & 绝 对 不 能 被 泄露 ,这 是 因为 当 攻 击 者 知道 了 随机 数 & 
后 ,就 可 以 通过 公式 ;= 二 ( 昌 (MD) 一 zxr)k-! mod (p 一 1) 推 出 

z= (HM)—ks)r! mod (p—1) 

从 而 得 到 用 户 的 私 钥 xz, 这 样 整 个 签名 算法 便 被 攻破 。 

(4) 随机 数 & 不 能 被 重用 。 有 研究 指出 ,如 果 随 机 数 & 被 重用 , 则 攻击 者 可 根据 得 到 
的 两 个 不 同 的 签名 求 出 签名 私 钥 xz。 

另外 ,还 有 一 些 ElGamal 签名 算法 的 变种 ,如 DSA (Digital Signature Algorithm ) 。 
DSA 是 一 种 单 向 不 可 逆 的 公 钥 密码 体制 , 它 只 能 用 于 数字 签名 ,而 不 能 用 于 加 密 解 密 和 
密 钥 分 配 。 与 EIlGamal 类 似 ,DSA 算法 在 每 次 签名 的 时 候 也 要 使 用 随机 数 , 对 同一 个 消 
息 签名 ,每 次 签名 的 结果 是 不 同 的 。 所 以 称 DSA 的 数字 签名 方式 为 随机 化 数字 签名 ,而 
RSA 的 数字 签名 方式 为 确定 性 数字 签名 。 由 于 RSA 存在 共 模 攻击 ,用 RSA 签名 每 次 都 
要 使 用 不 同 的 ,而 DSA 没有 这 个 需要 ,因此 在 实际 中 DSA 签名 比 RSA 签名 更 加 方便 。 


323 ”Schnar 签名 体制 


Schnorr 签名 体制 的 安全 性 建立 在 离散 对 数 分 解困 难 的 基础 上 。 对 于 相同 的 安全 
级 ,Schnorr 的 签名 长 度 比 RSA 短 ( 对 140 位 长 的 g,Schnorr 签名 长 度 仅 为 212 位 , 比 
RSA 签名 长 度 短 一 半 , 比 EIGamal 短 得 多 )。 而 且 产生 签名 所 需要 的 大 部 分 计算 都 可 在 
预 处 理 阶段 完成 ,进一步 提高 了 该 签名 体制 的 速度 。 由 于 其 签名 运算 的 高 效率 ,Schnorr 
数字 签名 算法 已 被 广泛 应 用 于 许多 电子 现金 协议 和 公平 盲 签名 协议 中 。 

Schnorr 签名 方案 的 安全 性 建立 在 计算 离散 对 数 难度 的 基础 上 ,签名 过 程 如 图 3. 3 
所 示 。 


1. 初始 过 程 


(1) 选择 大 素数 p,g,p 宇 2 ,g 宇 2”, 并 且 g 是 p 一 1 的 一 个 素 因 子 ,; 即 g | (p 一 1)。 
(2) 选择 gE V7? ,满足 8 三 1 mod p。 
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(3) 选择 一 个 小 于 g 的 随机 数 * ,计算 v= 二 gmod p。 
(4) 将 pgva.v 公开 ,s 保密 ,其 中 wv 是 公 钥 ,s 是 私 钥 。 


2. 签名 过 程 


(1) 签名 方 A 选取 一 个 小 于 9 的 随机 整数 ~, 并 计算 zx 一 g" mod p。 

(2) A 将 消息 m 与 x 连接 起 来 ,计算 其 散 列 值 一 瓦 (m,z) 。 

(3) A 计算 y==(r 十 se) mod g,(e,y) 即 为 签名 ,A 将 消息 和 签名 (m,e,y) 传 送 给 B。 
其 中 ,H(，。 ) 是 一 个 单 向 散 列 函 数 ,m 是 待 签 名 的 消息 。 


3. 验证 过 程 


验证 方 B 收 到 (mey,y) 后 ,计算 z 一 gyo* mod 户 , 然 后 验证 e 王 瑟 (0m,z') ,如 果 通 过 
验证 , 则 认为 该 签名 有 效 。 这 是 因为 y= 二 (r 十 se) mod qu 一 gmod 六 ,7x 一 5 mod 
pP。 所 以 : 


一 gc mod p=g tv mod p=g’g”g * mod p=g’ mod p=x 


发 送 方 A 接收 方 B 
随机 选择 rE Zu 
计算 z=g"modp 

e=H(m,zx) 

y=(r+se) modg 


mesy 


计算 zx’=grw* modp 
验证 e 是 否 等 于 H(m,z') 


图 3.3 ” Schnorr 签名 体制 


由 于 每 次 计算 得 到 的 签名 与 选择 的 随机 数 + 有 关 , 因 此 Schnorr 签名 也 是 非 确定 性 
的 签名 算法 。 


33 前 向 安全 数字 签名 


对 于 数字 签名 来 说 ,其 安全 性 牵涉 到 两 个 方面 : 一 是 签名 算法 的 安全 性 ,数字 签名 使 
用 的 算法 要 能 够 抵抗 各 种 密码 分 析 , 即 算法 不 被 破解 ;二 是 签名 私 钥 的 安全 性 , 即 私 钥 不 
能 被 窃取 ,或 者 即使 被 窃取 了 损失 也 不 大 。 一 般 来 说 , 私 钥 是 签名 者 自己 生成 再 保存 在 
自己 系统 中 ,不 会 经 过 Internet 传输 ,一 般 很 难 被 窃取 。 因 此 普通 数字 签名 算法 都 是 假 
设 私 钥 是 绝对 安全 的 (这 个 假设 隐 含 着 如 果 私 钥 泄露 则 责任 完全 由 签名 者 承担 ,验证 者 
无 须 承 担任 何 责任 )。 因 为 如 果 不 这 样 假设 , 则 签名 者 无 论 自己 的 私 钥 是 否 被 窃取 ,他 都 
可 以 声称 自己 的 私 钥 被 资 了 ,是 窃取 者 用 他 的 私 钥 签 的 名 ,从 而 可 对 自己 所 签 的 任何 文 
件 进行 抵赖 了 。 

但 是 私 钥 不 在 Internet 上 传输 并 不 表示 私 钥 是 绝对 安全 的 ,因为 攻击 者 还 可 能 会 攻 
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入 签名 者 的 系统 窃取 私 钥 ,一旦 签名 私 钥 被 泄露 , 则 攻击 者 可 使 用 该 私 钥 随 意 地 冒 用 签 
名 ,这 将 给 整个 系统 带 来 灾难 性 的 后 果 。 对 于 银行 或 CA 等 比较 重要 的 机 构 ,必须 考虑 签 
名 私 钥 泄 露 这 种 风险 的 存在 。 


1. 前 向 安全 的 概念 和 方法 


基于 私 钥 可 能 被 泄露 的 风险 ,1997 年 Anderson 首次 提出 了 前 向 安全 (forward 
secrecy) 的 概念 。 其 主要 思想 是 ,将 一 个 密码 学 系统 的 整个 生命 周期 分 为 若干 个 阶段 , 系 
统 的 私 钥 值 在 每 个 时 间 段 都 不 断 地 变化 。 这 样 , 即 使 当前 时 间 段 的 私 钥 值 泄露 了 ,也 不 
会 影响 以 前 时 间 段 私 钥 的 安全 性 ,这 意味 着 以 前 的 签名 仍然 是 有 效 的 。 因 此 ,前 向 安全 
数字 签名 方案 能 有 效 地 降低 因 私 钥 汇 露 而 造成 的 损失 。 这 种 思想 的 本 质 是 对 数字 签名 
安全 性 的 风险 控制 ,即将 签名 私 钥 汇 露 后 造成 的 损失 尽 可 能 减少 。 

前 向 安全 数字 签名 与 一 般 数字 签名 相 比 ,就 是 多 了 一 个 私 钥 更 新 的 环节 。 这 使 它 具 
有 前 向 安全 性 : 如 果 在 时 间 段 :的 私 钥 泄露 , 则 攻击 者 只 可 以 伪造 ;时 间 段 以 后 的 签名 ， 
而 不 能 伪造 i 时间 段 之 前 的 签名 ,也 就 是 说 ,i 时间 段 之 前 的 签名 仍然 有 效 。 

前 向 安全 数字 签名 实现 的 关键 是 私 钥 可 以 自动 更 新 ,但 验证 签名 的 公 钥 却 要 求 始终 
不 变 ,这 样 无 论 私 钥 怎 样 变化 ,验证 者 总 能 用 固定 的 公 钥 和 时 间 段 编号 对 签名 进行 验证 。 
因此 , 私 钥 可 以 用 单 向 函数 (例如 散 列 链 ) 来 实现 , 即 允 许 签 名 者 由 昨天 的 私 钥 计算 出 今 
天 的 私 钥 ,但 不 能 由 今天 的 私 钥 计算 出 昨天 的 私 钥 ,以 此 来 保证 即使 当前 的 私 钥 暴 露 了 ， 
但 过 去 的 私 钥 仍然 是 安全 的 。 进 化 是 单 向 的 ,所 以 进化 函数 是 单 向 函数 ,为 了 便于 验证 
及 提高 效率 ,对 应 的 公 钥 必须 始终 保持 不 变 。 

为 了 实现 前 向 安全 ,可 以 将 签名 的 私 钥 按时 间 段 进行 更 新 ,并 用 不 同 的 私 钥 生成 签 
名 ,而 相应 的 公 钥 并 没有 变 ,任何 验证 者 都 可 以 使 用 固定 的 公 钥 和 时 间 段 编号 来 验证 签 
名 ,如 图 3.4 所 示 。 用 户 先 注册 一 个 公 钥 PK ,同时 保存 相应 的 私 钥 SK。 然 后 将 公 钥 的 
有 效 时 间 分 为 个 时 间 段 , 记 为 Tj,T,,…,T,, 每 个 时 间 段 的 私 钥 记 为 SKi,SKs，,…， 
SK, 。 存 在 这 样 一 个 单 向 函数 f 可 以 将 私 钥 SK, 更 新 为 SK , 即 SK, 二 (SKi)。 因 为 单 
向 函数 具有 单 向 性 , 即 由 SK, 计算 SKs 非常 容易 ,而 反 过 来 要 通过 SK; 计算 SK, 则 非常 
困难 。 


签名 私 钥 : SKo— SK SK Re 


验证 : 公 钥 + 时 间 段 编号 PKIIT; 一 


图 3.4 前 向 安全 数字 签名 的 私 钥 进化 过 程 


2. 基于 ElGamal 的 前 向 安全 数字 签名 方案 


通常 一 个 前 向 安全 数字 签名 方案 包括 4 个 算法 : 公私 钥 生 成 算法 、 私 钥 更 新 算法 、 签 
名 算法 和 验证 算法 ,也 就 是 说 比 普通 数字 签名 方案 多 了 一 个 私 钥 更 新 算法 。 


#@: 数字 签名 
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基于 ElGamal 的 前 向 安全 数字 签名 方案 的 算法 如 下 。 

1) 基本 参数 建立 

系统 先 选取 一 个 大 素数 p 及 p 的 本 原 根 g ,用 户 A 选择 一 个 随机 数 z(1 二 zp 一 1) 
作为 自己 的 初始 私 钥 SK。 ,确定 私 钥 的 更 新 次 数 T; ,并 根据 PK 一 gs- mod 户 , 计 算出 公 
钥 PR。 系统 公开 初始 化 参数 {p.g ,PK ,TT;})。 

2) 私 钥 更 新 算法 

前 向 安全 技术 的 关键 是 : 签名 者 根据 所 设 定 的 时 间 段 不 断 地 计算 出 自己 的 新 私 钥 ， 
并 用 新 的 私 钥 替 换 旧 的 私 钥 。 设 i 表示 第 i 个 时 间 段 , 则 私 钥 更 新 算法 如 下 : 

根据 SK; 计算 SKiw1 ,计算 公式 为 SKis1 一 SK;? mod (p 一 1), 其 中 i€[1,n 十 1]。 

显然 ,如 果 想 由 SKi+1 计 算 SK;, 则 等 价 于 求 离散 对 数 复杂 性 的 难题 ,因此 非常 困难 。 

3) 数字 签名 生成 

对 消息 M 进行 签名 时 ,签名 者 Alice 首先 选择 一 个 随机 数 & (k 与 p 一 1 互 素 ), 然 后 
计算 

a=gtmodp 
0 一 (HashCM) 一 SK3 ao)A modp 

此 时 对 消息 M 的 签名 结束 ,{a,b, 站 为 第 i 个 时 间 段 对 消息 M 的 签名 。 

4) 签名 验证 

Bob 在 接收 到 Alice 的 签名 后 通过 以 下 等 式 进行 验证 : 

PK“a’* = gHash(M) mod p 
车 上 式 为 真 , 则 签名 有 效 ,否则 签名 无 效 。 这 是 因为 


PKeo = gs" ge HD SK SKrICmod p) = goo modp 
3，, 强 前 向 安全 的 概念 


前 向 安全 数字 签名 仍然 是 有 安全 漏洞 的 ,因为 它 没 有 办 法 阻止 攻击 者 窃取 了 私 钥 后 
在 未 来 的 时 间 段 内 进行 同样 的 私 钥 更 新 。 即 : 如 果 攻 击 者 获得 了 第 i 时 间 段 的 私 钥 , 并 
且 签 名 者 也 没有 发 觉 自己 的 私 钥 已 经 被 窃取 ,那么 攻击 者 就 可 以 和 签名 者 一 样 进 行 私 钥 
的 更 新 ,得 到 ;时 间 段 以 后 的 所 有 私 钥 。 有 了 这 些 私 钥 就 可 以 伪造 ;时 间 段 及 ; 时 间 段 以 
后 的 所 有 签名 ,直到 被 签名 者 发 现 。 也 就 是 说 ,前 向 安全 签名 无 法 保证 签名 在 将 来 的 安 
全 性 ( 即 后 向 安全 性 )。 为 此 ,2001 年 M. Burmester 提出 了 强 前 向 安全 签名 的 概念 , 即 在 
保证 签名 是 前 向 安全 的 同时 ,不 应 该 让 攻击 者 具有 和 合法 签名 者 同样 的 私 钥 更 新 能 力 ， 
即 ,即使 攻击 者 获得 了 i 时间 段 的 私 钥 , 它 也 不 能 伪造 i 时间 段 以 前 的 签名 和 i 时 间 段 以 
后 的 签名 ,把 具有 这 样 特性 的 安全 性 称 为 强 前 向 安全 性 ,或 称 为 双向 安全 性 。 


34 特殊 的 数字 签名 


根据 电子 商务 等 应 用 的 需要 ,产生 了 许多 种 特殊 的 数字 签名 方式 ,如 盲 签 名 、 群 签 
名 、 门 限 签名 .不 可 争辩 签名 .数字 时 间 截 等 。 
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341 盲 签名 


在 一 般 的 数字 签名 中 ,文件 的 签名 者 都 知道 他 们 在 签署 什么 ,甚至 该 文件 就 是 签名 
者 自己 生成 的 ,这 是 通常 所 需要 的 。 但 有 时 可 能 需要 某 人 对 一 个 文件 签名 , 却 又 不 想 让 
他 知道 文件 的 内 容 。 例 如 某 人 立 遗 嘱 时 ,通常 将 遗嘱 写 好 并 用 信封 密封 好 后 ,给 公证 人 
签名 盖 章 ,公证 人 看 不 到 遗嘱 内 容 , 这 样 可 防止 公证 人 未 到 时 候 就 私下 将 遗嘱 的 内 容 汇 
露出 去 ,但 又 必须 要 让 公证 人 签名 ,这样 验证 者 才能 确信 遗嘱 是 真实 的 。 这 里 公证 人 对 
遗嘱 的 签名 就 是 一 种 盲 签 名 。 

盲 签名 最 主要 的 用 途 是 实现 电子 现金 的 匿名 性 。 用 户 自 己 生成 了 一 些 电 子 现金 ( 包 
含有 序列 号 ) ,把 电子 现金 提交 给 银行 签名 (当然 有 办 法 让 银行 能 大 体 知 道 他 签署 的 是 什 
么 ,只 不 过 不 准确 而 已 ) ,这样 电 子 现金 才 会 变 得 有 效 , 但 用 户 又 不 想 让 银行 知道 自己 提 
交 的 电子 现金 是 哪些 ,以 防止 银行 对 他 的 消费 状况 进行 跟踪 ,从 而 达到 保护 用 户 隐私 的 
目的 。 因 此 不 能 让 银行 看 到 待 签名 文件 (电子 现金 ) 的 具体 内 容 ( 如 序列 号 ) ,这 就 需要 盲 
签名 技术 。 

盲 签 名 操作 涉及 三 方 , 分 别 是 请 求 签名 者 ,签名 者 和 签名 验证 者 。 


1. 盲 签名 的 基本 原理 


为 了 实现 盲 签名 ,一 种 自然 的 想法 就 是 先 将 消息 加 密 ( 称 为 盲 化 ) ,再 把 加 密 的 消息 
发 送 给 签名 者 签名 。 这 样 签 名 者 就 无 法 阅读 消息 的 内 容 了 ,而 只 能 进行 签名 ,而 请 求 签 
名 者 可 先 将 签名 解密 ( 脱 盲 ), 然 后 再 把 消息 明文 和 脱 盲 的 签名 发 送 给 验证 者 验证 签名 。 
该 过 程 如 图 3. 5 所 示 。 


一 验证 者 
图 3.5 盲 签 名 讶 化 、 签 名、 脱 盲 ,验证 的 过 程 


| 1 | | 
| 请 求 签名 者 四 签名 者 | 
1 1 1 | 
1 1 1 i | 
7 人 Ey | [7 | 等 名 运算 [TS | 
1 H 1 | xX | 
| | __J 
| ! 

| | 验证 签名 
oi | 

1 

1 1 

1 

1 


提示 : 脱 育 的 签名 就 相当 于 签名 者 直接 对 消息 明文 M 进行 的 签名 。 

由 此 可 见 , 盲 签名 的 基本 原理 是 两 个 可 交换 算法 的 应 用 : 第 一 个 是 加 密 算 法 , 它 用 来 
隐藏 消息 ,实现 盲 化 处 理 ; 第 二 个 是 签名 算法 ,用 来 对 消息 进行 签名 。 只 有 当 这 两 个 算法 
是 可 交换 的 , 即 Signs (mh) 二 Signs(m)h(h 为 盲 化 因子 ), 盲 签名 才能 有 效 。 

因为 如 果 这 两 个 算法 不 能 交换 , 则 请 求 签名 者 无 法 进行 脱 盲 运算 ,不 能 由 Sign 得 到 
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Sign, 而 只 能 解密 Sign 得 到 M“。 虽 然 请 求 签名 者 也 可 以 把 M、M 和 Sign 提交 给 验证 者 
验证 Sign 确实 是 从 M 得 来 的 签名 ,但 这 又 要 将 讶 化 因子 h 告诉 验证 者 ,而 一 旦 讶 化 因子 
公开 , 则 签名 者 也 能 用 讶 化 因子 解密 得 知 明文 了 。 

总 结 : 盲 签名 与 普通 数字 签名 相 比 ,有 两 个 显著 的 特点 : 

(1) 消息 的 内 容 对 签名 者 是 不 可 见 的 ,例如 图 3.5 中 签名 者 不 知道 M。 

(2) 在 签名 消息 被 接收 者 公开 后 ,签名 者 不 能 追踪 签名 ,例如 图 3. 5 中 签名 者 即使 看 
到 Sign, 仍 然 不 能 把 它 和 M “联系 起 来 , 即 盲 签名 具有 不 可 追踪 性 。 

上 述 讶 签名 方案 又 称 为 强 盲 签名 ,如 果 盲 签名 方案 满足 条 件 (1) ,但 不 满足 条 件 (2)， 
即 在 签名 消息 被 接收 者 公开 后 ,签名 者 能 够 追踪 签名 , 则 称 为 弱 盲 签名 ,或 公平 讶 签名。 

讶 签名 可 通过 RSA 算法 、 离 散 对 数 等 数学 难题 实现 。 


2. RSA 的 盲 签名 体制 


RSA 的 盲 签名 体制 的 步骤 如 下 : 

(1) 参数 选择 。 系 统 随机 选取 两 个 大 素数 p 和 9g ,计算 n= pgq; 青 计算 n 的 欧 拉 函数 
$n) 二 (p 一 1)(g 一 1) ,计算 完 后 ,可 以 公开 。 然 后 选择 一 个 与 $(n) 互 素 的 整数 。 作为 
某 用 户 的 公 钥 (这 样 e 才 会 具有 乘法 逆 元 ) 。 求 出 e 的 乘法 道 元 ,将 该 结果 作为 私 钥 4d, 即 
de 二 1 mod $8(n)。 将 d 保密 ,(d,n) 作 为 私 钥 , 将 e 公开 ,(e,n) 作 为 公 钥 。pvq 和 由 (2) 都 

(2) 签名 过 程 。 用 户 ( 请 求 签名 者 ) 选 择 待 签名 的 消息 mE€Z 和 一 个 随机 数 € 
作为 盲 因子 ,并 用 签名 方 的 公 钥 e 对 原 消息 进行 盲 化 ,计算 

m’ = mr mod 7 
然后 把 讶 化 的 消息 m' 发 送 给 签名 者 进行 签名 。 

签名 者 收 到 m' 后 ,用 自己 的 私 钥 d 对 其 进行 签名 ,计算 

Sign(m’) = (2 )4 mod 7 

可 见 签名 过 程 和 普通 RSA 签名 完全 一 致 .然后 把 Sign(m ) 作 为 m 的 签名 发 送 给 
用 不 

(3) 脱 盲 过 程 。 求 签名 者 收 到 Sign(m) 后 ,对 其 进行 脱 盲 运算 ,只 要 计算 

Sign(m) = Sign(m’)/r mod n 

Sign(m) 就 是 对 原 消 息 m 的 直接 签名 , 即 Sign(m) 二 m* mod n, 这 是 因为 

Sign(m)= SignGm)/r = Gm ) /r= (mmr) /r 


= mr /rmodn= mr/r modn= m’ modn 


(4) 验证 签名 。 由 于 Sign(m) 就 是 对 原 消息 m 的 直接 签名 ,因此 验证 者 可 以 用 签名 
者 的 公 钥 e 像 验证 普通 RSA 签名 一 样 验证 签名 , 即 验 证 如 下 等 式 是 否 成 立 : 
m= (Sign(m))* mod 7 
【 例 3.1】 取 p==3,g 二 11, 则 n= 二 33,8(n) 二 20, 再 取 公 和 钥 e 二 3, 计 算得 知 d= 二 7。 
设 明 文 m= 二 6, 任 取 随 机 数 r==5; 求 m 的 盲 签名 ,并 对 盲 签名 进行 验证 。 
解 : m 一 6X53 mod 33 二 750 mod 33 一 24 
Sign(m’)=24’ mod 33=18 
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Sign(m) 王 18X5- -1 mod 33 S35X Sign(m) mod 33 王 18 ,得 Sign(m) 二 30。 
验证 : m 二 6;(Sign(m))* mod 2 一 303 mod 33 一 6。 
两 者 相等 ,说 明 签名 是 有 效 的 。 


3. ElIGamal 的 讶 签名 体制 


ElGamal 盲 签 名 的 步骤 如 下 : 
(1) 系统 先 选取 一 个 大 素数 p 及 p 的 本 原 根 a, 然 后 选择 一 个 随机 数 x ,2 三 x 三 p 一 2， 
再 计算 > 一 az mod p, 以 (y,a,p) 作 为 用 户 的 公 钥 ,而 xz 作为 用 户 的 私 钥 。 
(2) 盲 化 过 程 。 请 求 签名 者 选择 随机 数 h€ Z; 作为 盲 化 因子 ,然后 计算 
B=a:*modp 
m’ = mh mod (p—1) 
将 二 元 组 (8,m’ ) 发 送 给 签名 者 。 
(3) 签名 过 程 。 签 名 者 收 到 (B,m ) 后 ,选择 随机 数 &EZ;_1 ,并 用 自己 的 私 钥 xz 对 mm” 
进行 签名 ,计算 
r=Bk modp 
s 一 Zr 十 mAmod (p—1) 
并 将 (r,s) 作 为 对 消息 mm 的 签名 发 送 给 请 求 签 名 者 。 
(4) 验证 过 程 。 请 求 签名 者 收 到 (r,s) 后 ,用 签名 者 的 公 钥 y 验证 以 下 等 式 是 否 
成 立 : 
a’ =ry modp 
如 果 成 立 则 说 明 签名 有 效 。 


342 群 签名 和 门限 签名 


1. 群 签名 


群 签名 是 指 : 一 个 群体 中 的 任意 一 个 成 员 可 以 以 匿名 的 方式 代表 整个 群体 对 消息 进 
行 签 名 ,验证 者 可 以 确认 签名 来 自 该 群体 ,但 不 能 确认 是 群体 中 的 哪 一 个 成 员 进 行 的 签 
名 。 但 是 当 出 现 争议 时 ,借助 于 一 个 可 信 的 机 构 或 群 成 员 的 联合 就 能 识别 出 群 中 的 那个 
签名 者 。 

与 其 他 数字 签名 一 样 , 群 签名 也 是 可 以 公开 验证 的 ,而 且 可 以 用 单个 的 群 公 钥 来 验证 。 

一 个 群 签名 体制 是 由 以 下 几 部 分 组 成 的 : 

(1) 创建 : 一 个 用 以 产生 群 公 钥 和 私 钥 的 多 项 式 时 间 概 率 算法 。 

(2) 加 入 : 一 个 用 户 和 群 管理 人 之 间 的 交互 协议 。 执 行 该 协议 可 以 使 用 户 成 为 群 成 
员 , 群 管理 人 得 到 群 成 员 的 秘密 成 员 管 理 密 钥 ,并 产生 群 成 员 的 私 钥 和 群 成 员 证 书 。 

(3) 签名 : 一 个 概率 算法 , 当 输入 一 个 消息 和 一 个 群 成 员 的 私 钥 后 ,输出 对 消息 的 
签名 。 

(4) 验证 : 一 个 在 输入 对 消息 的 签名 及 群 公 钥 后 确定 签名 是 否 有 效 的 算法 。 

(5) 打开 : 一 个 在 给 定 一 个 签名 及 群 公 钥 的 条 件 下 确定 签名 人 身份 的 算法 。 
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一 个 好 的 群 签名 方案 应 满足 以 下 的 安全 性 要 求 : 

(1) 匿名 性 : 给 定 一 个 群 签名 后 ,对 除了 唯一 的 群 管理 员 之 外 的 任何 人 来 说 ,确定 签 
名 人 的 身份 在 计算 上 是 不 可 行 的 。 

(2) 不 关联 性 : 在 不 打开 群 签 名 的 情况 下 ,确定 两 个 不 同 的 群 签 名 是 否 为 同一 个 群 
成 员 所 签 在 计算 上 是 困难 的 。 

(3) 防伪 造 性 : 只 有 群 成 员 才 能 产生 有 效 的 群 签名 。 

(4) 可 跟踪 性 : 群 管理 人 在 必要 时 可 以 打开 一 个 群 签名 以 确定 群 签名 人 的 身份 ,而 
且 签 名 人 不 能 阻止 一 个 合法 群 签名 的 打开 。 

(5) 防 陷害 攻击 : 包括 群 管理 员 在 内 的 任何 人 都 不 能 以 其 他 群 成 员 的 名 义 产 生 合 法 
的 群 签名 。 

(6) 抗 联合 攻击 : 即使 一 些 群 成 员 串 通 在 一 起 也 不 能 产生 一 个 合法 的 不 能 被 跟踪 的 
群 签名 。 


2. 群 盲 签名 


1998 年 ,Lysyanskaya 和 Ramzan 有 效 结合 群 签名 和 盲 签 名 提出 了 群 盲 签名 的 概念 。 
大 多 数 的 电子 现金 系统 都 是 基于 由 单个 银行 发 行 电 子 现金 的 模型 ,所 有 的 用 户 与 商家 在 
同一 家 银行 拥有 账户 。 而 在 现实 世界 中 ,电子 现金 可 能 是 在 一 个 中 央 银 行 监控 下 , 
群 银行 发 行 的 。 由 J. Camenisch 和 M. Stadler 利用 群 育 签名 构造 了 一 个 多 个 银行 参与 发 
行 电 子 现金 的 .匿名 在 线 的 电子 现金 方案 ,为 研究 电子 现金 系统 开辟 了 一 个 新 的 方向 。 

在 该 方案 中 有 多 个 银行 参与 ,每 个 银行 都 可 以 安全 地 发 行 电子 现金 ,这 些 银行 形成 
一 个 群体 受 中 央 银 行 的 控制 ,中 央 银 行 担当 了 群 管理 员 的 角色 。 该 方案 具有 以 下 性 质 : 

(1) 任何 银行 不 能 跟踪 自己 发 行 的 电子 现金 。 

(2) 商家 只 需要 用 单个 群 公 钥 验 证 所 收 到 的 电子 现金 的 有 效 性 ,而 不 关心 该 电子 现 
金 是 哪个 银行 发 行 的 。 

(3) 所 有 银行 组 成 的 群体 只 有 一 个 公 钥 ,该 公 钥 与 参与 银行 的 个 数 无 关 , 而 且 有 银行 
加 入 时 ,该 公 钥 也 不 需要 改变 。 

(4) 给 定 一 个 合法 的 电子 现金 , 除 中 央 银 行 以 外 ,任何 银行 不 能 辨别 该 电子 现金 是 哪 
家 银行 发 行 的 ,为 用 户 和 银行 提供 了 匿名 人 性。 

(5) 包括 中 央 银 行 在 内 的 任何 银行 都 不 能 以 其 他 银行 的 名 义 发 行 电子 现金 。 


3. 门限 签名 


在 有 nn 个 成 员 的 群体 中 ,至 少 有 1 个 成 员 才能 代表 群体 对 文件 进行 有 效 的 数字 签名 。 
例如 ,银行 金库 大 门 的 打开 申请 需要 一 个 正 行 长 和 一 个 副 行 长 同时 签名 或 者 3 个 副 行 长 
同时 签名 才能 生效 。 这 就 需要 门限 签名 。 门 限 签名 可 通过 共享 密 钥 的 方法 实现 , 它 将 密 
钥 分 为 n 份 ,只 有 当 超 过 1 份 的 子 密 钥 组 合 在 一 起 时 才能 重 构 出 密 钥 。 

343 数字 时 间 截 


在 某 些 电子 交易 中 ,交易 时 间 是 非常 重要 的 信息 。 例 如 ,股票 .期 货 的 交易 时 间 直 接 
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影响 到 交易 商品 的 价格 。 因 此 ,需要 一 个 可 信任 的 第 三 方 一 一 时 间 戳 权威 (Time Stamp 
Authority,TSA) 来 提供 可 信赖 的 且 不 可 抵赖 的 时 间 戳 服务 。TSA 主要 功能 是 证 明 某 份 
文件 (交易 信息 ) 在 某 个 时 间 ( 或 以 前 ) 存 在 ,防止 用 户 在 这 个 时 间 后 伪造 数据 进行 欺诈 。 

数字 时 间 惟 (Digital Time-Stamp,DTS) 产 生 的 一 般 过 程 是 : 用 户 首先 对 需要 加 时 间 
戳 的 文件 用 散 列 函数 计算 其 摘要 ,然后 将 摘要 发 送 给 TSA,TSA 将 收 到 文件 摘要 时 的 日 
期 时 间 信 息 附 加 到 文件 中 ,再 用 TSA 的 私 钥 对 该 文件 进行 加 密 (TSA 的 数字 签名 ) ,然后 
送 回 用 户 ,整个 过 程 如 图 3. 6 所 示 。 


| | [1 | 
| | 划 效 | 改 列 西数 | 摘要 | | | 摘要 | | 
:成 摘 绰 寺 间 
生成 摘要 py ' y en 
| En | 
| | | TSA 提 供 | 
| 数字 时 | | | | 数字 时 | 
WR A 
| we 
上 1 1 1 
上 上 1 | 


图 3.6 数字 时 间 惟 的 产生 过 程 


用 户 收 到 数字 时 间 戳 后 ,可 以 将 其 与 原始 文件 一 起 发 送 给 接收 方 , 供 接收 方 验证 时 间 。 
可 见 ,数字 时 间 戳 是 一 个 经 TSA 签名 后 形成 的 凭证 文档 , 它 包 括 3 个 部 分 : 

(1) 需 加 时 间 截 的 文件 摘要 。 

(2) TSA 收 到 文件 的 日 期 和 时 间 。 

(3) TSA 的 数字 签名 。 


忆 是 
1. 要 实现 电子 现金 的 匿名 性 ,可 以 使 用 ( Ya 
A. 盲 签名 B. 群 签名 
C. 门限 签名 D. 前 向 安全 数字 签名 
2. 盲 签 名 操作 涉及 三 方 ,分 别 是 \ 签 名 者 和 验证 者 。 
3. 为 了 解决 签名 私 钥 可 能 被 窃取 的 问题 ,人 们 提出 了 数字 签名 。 
4. 如 果 要 实现 带 有 保密 性 的 数字 签名 ,需要 使 用 发 送 方 的 和 接收 方 的 
( 填 公 钥 或 私 钥 )。 


5. 简 述 数字 签名 的 过 程 和 应 用 。 

6. 小 强 想 出 了 一 种 数字 签名 的 新 方案 ,他 用 一 个 随机 的 对 称 密 钥 加 密 要 签名 的 明文 
得 到 密 文 ,再 用 自己 的 私 钥 加 密 该 对 称 密 钥 ( 签 名 ) ,然后 把 密 文 和 加 密 后 的 对 称 密 钥 一 
起 发 送 给 接收 方 ,接收 方 如 果 能 解密 得 到 明文 ,就 表明 验证 签名 成 功 。 请 问 用 该 方案 能 
够 对 明文 签名 吗 ? 为 什么 ? 


第 4 将 Gapfer<c 
密 钥 管理 与 密 钥 分 配 


在 现代 密码 学 中 ,加密 算 法 的 安全 性 完全 依赖 于 密 钥 ,因此 密 钥 是 现代 密码 体制 的 
核心 , 密 钥 管理 是 整个 加 密 系 统 中 最 重要 的 环节 。 密 钥 管 理 作 为 现代 密码 学 的 一 个 重要 
分 支 ,就 是 在 授权 各 方 之 间 实 现 密 钥 关系 建立 和 维护 的 一 整套 技术 , 它 是 现代 密码 学 中 
最 重要 最 困难 的 部 分 。 密 钥 设 计 具 有 一 系列 的 规程 ,包括 密 钥 的 产生 、 分 配 、 存 储 、 使 
用 、 备 份 /恢复 .更 新 .撤销 和 销毁 等 环节 。 


41 密 钥 管理 


密 钥 管理 是 一 门 综合 性 的 技术 , 它 除 了 技术 性 的 因素 外 ,还 包括 管理 因素 ,例如 密 钥 
的 行政 管理 制度 和 人 员 的 素质 密切 相关 。 再 好 的 技术 ,如 果 失 去 必要 的 管理 支持 ,也 将 
使 技术 毫 无 意义 。 密 码 系统 的 安全 强度 总 是 由 系统 中 最 薄弱 的 环节 决定 的 。 但 作为 一 
个 好 的 密 钥 管 理 系 统 应 尽量 不 依赖 于 人 的 因素 ,为 此 , 密 钥 管理 系统 一 般 应 满足 以 下 
要 求 : 

(1) 密 钥 难以 被 非法 窃取 。 

(2) 在 一 定 条 件 下 ,即使 窃取 了 密 钥 也 没有 用 。 

(3) 密 钥 的 分 配 和 更 换 过 程 在 用 户 看 来 是 透明 的 ,用 户 不 一 定 要 亲自 掌握 密 钥 。 


411 密 钥 的 层次 结构 


如 果 一 个 密码 系统 的 功能 很 简单 ,可 以 使 用 单 层 密 钥 体制 , 即 所 有 的 密 钥 都 用 来 直 
接 对 数据 进行 加 密 和 解密 ,但 这 种 密 钥 体制 的 安全 性 不 高 。 一 个 完善 的 密 钥 系 统 通 常 要 
求 密 钥 能 够 定期 更 换 , 密 钥 能 自动 生成 和 分 配 等 其 他 功能 ,为 此 ,就 需要 设计 成 多 层 密 钥 
体制 。 

多 层 密 钥 体制 的 基本 思想 是 用 密 钥 保护 密 钥 , 在 多 层 密 钥 体制 中 , 密 钥 可 分 为 会 话 
密 钥 、 密 钥 加 密 密 钥 . 主 密 钥 3 个 层次 , 密 钥 的 层次 结构 如 图 4. 1 所 示 。 系 统 使 用 主 密 钥 
Ki 通过 算法 户 加 密 保 护 二 级 密 钥 ,使 用 密 钥 加 密 密 钥 玉 ，;, 通过 算法 f, 保护 会 话 密 
钥 K,。 

。 会 话 密 钥 (session key): 最 底层 的 密 钥 ,直接 对 数据 进行 加 密 和 解密 。 
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| 主 密 铀 & | 主客 钥 K 

fi f 

! ! 

| 密 钥 加 密 密 钥 K; | 窗 负 加密 密 钥 K, 

fi i 

| 会 话 窗 钥 K， | 会 话 窗 角 & 
-| -| — 

E77 密 文 C 明文 M 


图 4.1 密 钥 的 层次 结构 


。 密 钥 加 密 密 钥 (key encrypting key): 最 底层 上 所 有 的 密 钥 ,用 于 对 下 一 层 密 钥 进 
行 加 密 保护 。 

。 主 密 钥 (master key) : 最 高 层 的 密 钥 ,是 密 钥 系 统 的 核心 ,通常 受到 严格 保护 ,用 
于 对 密 钥 加 密 密 钥 进行 保护 。 

多 层 密 钥 体制 的 优点 在 于 : 

(1) 安全 性 大 大 提高 ,下 层 的 密 钥 被 破译 不 会 影响 到 上 层 密 钥 的 安全 。 

(2) 为 密 钥 管理 自动 化 带 来 了 方便 。 除 一 级 密 钥 需 由 人 工装 入 以 外 ,其 他 各 层 密 钥 

均 可 由 密 钥 管理 系统 实行 动态 的 自动 更 新 和 维护 。 


412 密 钥 的 生命 周期 

密 钥 管理 涉及 密 钥 的 产生 、 使 用 、 存 储备 份 与 恢复 ,更 新 .销毁 以 及 密 钥 的 撤销 等 
涵盖 了 密 钥 的 整个 生命 周期 。 

1. 密 钥 的 产生 


密 钥 必须 在 安全 环境 中 生成 ,以 防止 对 密 钥 的 非 授权 访问 。 密 钥 的 生成 有 两 种 方 
式 , 一 种 是 由 密 钥 分 配 中 心 CKDC) 集 中 生成 , 另 一 种 是 由 客户 端 分 散 生 成 。 这 两 种 方式 
各 有 优 缺 点 , 表 4. 1 是 两 种 密 钥 生 成 方式 的 优 缺 点 对 比 。 


表 4.1 两 种 密 钥 生成 方式 的 对 比 


方 式 集 中 式 分 散 式 

代表 密 钥 分 配 中 心 /CA 证 书 分 发 中 心 在 类 

生成 者 密 钥 分 配 中 心 /CA 证 书 分 发 中 心 用 户 

用 户 数量 受 限 制 不 受 限 制 

特点 密 钥 质 量 高 ,方便 备份 需 第 三 方 认证 

安全 性 需 安全 的 私 钥 传 输 通道 安全 性 高 ,只 需 将 公 钥 传送 给 CA 


为 了 保证 安全 ,避免 弱 密 钥 ,防止 密 钥 被 猜测 分 析出 来 , 密 钥 的 一 个 基本 要 求 是 具有 
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足够 的 随机 性 ,这 包括 长 周期 性 、 非 线性 统计 意义 上 的 等 概率 性 以 及 不 可 预测 性 等 。 但 
是 ,一 个 真正 的 随机 序列 是 无 法 用 计算 机 模拟 产生 的 ,目前 常 采 用 物理 噪声 源 方法 产生 
足够 随机 的 伪 随 机 序列 。 

对 密 钥 的 另 一 个 要 求 是 密 钥 要 足够 长 。 决 定 密 钥 长 度 需要 考虑 多 方面 的 因素 ,包括 
数据 价值 有 多 大 ,数据 要 有 多 长 的 安全 期 ,攻击 者 的 资源 情况 怎样 。 应 该 注意 到 ,计算 机 
的 计算 能 力 和 加 密 算 法 的 发 展 也 是 密 钥 长 度 要 考虑 的 重要 因素 。 


2. 密 钥 的 存储 


密 钥 的 安全 存储 是 密 钥 管理 中 的 一 个 重要 环节 ,也 是 比较 困难 的 一 个 环节 。 所 谓 密 
钥 的 安全 存储 是 要 确保 密 钥 在 存储 状态 下 的 保密 性 真实 性 和 完整 性 。 安 全 可 靠 的 存储 
介质 是 密 钥 安全 存储 的 物质 条 件 , 安 全 严密 的 访问 控制 机 制 是 密 钥 安全 存储 的 管理 
条 件 。 

密 钥 安全 存储 的 原则 是 不 允许 密 钥 以 明文 形式 出 现在 密 钥 管 理 设备 之 外 。 例 如 ,可 
以 通过 将 密 钥 以 明文 形式 存储 在 安全 的 IC 卡 或 智能 卡 中 ,由 专人 保管 ,使 用 时 插入 设备 
中 。 如 果 无 法 做 到 ,必须 用 另 一 个 密 钥 加 密 来 保护 该 密 钥 ,或 由 一 个 可 信 方 来 分 发 。 


3. 密 钥 的 更 新 


密 钥 更 新 是 密 钥 管理 的 基本 要 求 ,无论 密 钥 是 否 泄漏 ,都 应 该 定期 更 新 ,更 换 时 间 取 
决 于 给 定时 间 内 待 加 密 数据 的 数量 、 加 密 的 次 数 和 密 钥 的 种 类 。 会 话 密 钥 应 当 频 繁 更 
换 , 以 防止 攻击 者 在 长 时 间 内 通过 截获 大 量 的 密 文 来 分 析出 密 钥 。 密 钥 加 密 密 钥 无 须 频 
繁 更 换 ,而 主 密 钥 可 有 更 长 的 更 换 时 间 。 


4. 密 钥 的 备份 和 恢复 


为 了 进一步 确保 密 钥 和 加 密 数 据 的 安全 ,防止 密 钥 遭 到 毁坏 造成 数据 丢失 ,可 利用 
备份 的 密 钥 恢复 出 原来 的 密 钥 或 被 加 密 的 数据 , 密 钥 的 备份 本 质 上 也 是 一 种 密 钥 的 存 
储 。 密 钥 备 份 有 以 下 几 个 原则 : 

(1) 备份 的 密 钥 应 当 受 到 与 存储 密 钥 同样 的 保护 。 

(2) 为 了 减少 明文 形态 的 密 钥 数 量 ,一 般 都 采用 高 级 密 钥 保护 低级 密 钥 的 密 文 形态 
进行 备份 。 

(3) 对 于 高 级 密 钥 ,不 能 采用 密 文 形态 备份 ,一 般 采用 多 个 密 钥 分 量 的 形式 进行 备 
份 , 即 把 密 钥 通过 门限 方案 分 割 成 几 部 分 ,每 个 密 钥 分 量 备份 到 不 同 的 设备 或 地 点 ,并 且 
指定 专人 负责 。 

(4) 密 钥 的 备份 应 当 考虑 方便 恢复 , 密 钥 的 恢复 应 当 经 过 授权 而 且 要 遵循 安全 的 规 
章 制度 。 


5. 密 钥 的 销毁 和 撤销 


对 任何 密 钥 的 使 用 都 必须 像 身份 证 .护照 一 样 设 置 有 效 期 。 没 有 哪个 密 钥 能 够 无 限 
期 地 使 用 ,和 否则 会 带 来 不 可 预料 的 后 果 , 这 是 因为 : 密 钥 使 用 时 间 越 长 . 它 泄露 的 机 会 


92 


Nu: rs tisn 


就 越 大 ; 加 如 果 密 钥 已 经 泄露 ,又 没有 被 使 用 者 察觉 ,那么 密 钥 使 用 越久 ,损失 就 会 越 大 ; 
@ 密 钥 使 用 越久 ,对 攻击 者 来 说 花费 精力 破译 它 的 诱惑 力 就 越 大 ,其 至 采取 穷 举 法 进行 
攻击 ; 由 对 同一 密 钥 加 密 的 多 个 密 文 进行 密码 分 析 一 般 比 较 容易 。 

因此 , 当 密 钥 超过 有 效 期 或 停止 使 用 后 ,应 该 对 该 密 钥 进行 销毁 ,彻底 清除 ,清除 所 
有 踪迹 ,包括 将 所 有 明文、 密 钥 及 其 他 未 受 保护 的 重要 保密 参数 全 部 清 零 , 以 禁止 攻击 者 
通过 观察 数据 或 从 抛弃 的 设备 中 确定 旧 密 钥 值 。 

密 钥 的 撤销 是 从 法 律 上 取消 密 钥 与 密 钥 拥 有 者 之 间 的 关联 ,解除 实体 对 密 钥 使 用 过 
程 中 应 承担 的 义务 , 密 钥 的 撤销 往往 意味 着 密 钥 同时 也 被 销毁 。 

以 上 密 钥 管理 的 各 个 过 程 都 要 记录 上 日志, 方便 以 后 进行 审计 。 


42 密 钥 的 分 配 


密 钥 分 配 通 俗 地 说 就 是 把 密 钥 传递 给 对 方 ,在 现实 生活 中 ,这 应 该 是 一 个 很 简单 的 
问题 ,因为 人 们 可 以 面对面 地 把 钥匙 交 到 对 方 手 里 。 但 是 在 网 络 环境 中 ,人 们 不 能 见面 ， 
只 能 通过 网 络 把 “钥匙 ” 寄 给 对 方 。 而 在 这 中 间 可 能 会 遭受 到 敌 方 各 种 各 样 的 攻击 ,窃取 
密 钥 或 伪造 密 钥 等 。 如 果 密 钥 被 敌 方 掌握 了 , 那 设计 再 好 的 密码 系统 也 没 用 了 ,因此 密 
钥 分 配 是 密 钥 管理 最 重要 的 一 个 环节 。 

密 钥 分 配 是 指 将 密 钥 安全 地 分 发 给 通信 双方 的 过 程 ,由 于 密 钥 是 整个 密码 系统 安全 
的 核心 ,所 以 攻击 者 很 可 能 通过 穷 取 密 钥 来 攻破 密码 系统 。 许 多 情况 下 ,出 现 安全 问题 
不 是 因为 密码 算法 被 破解 ,而 是 因为 密 钥 分 配 系 统 被 破解 。 需 要 注意 的 是 ,对 于 对 称 密 
码 体制 和 公 钥 密码 体制 来 说 ,它们 的 密 钥 分 配方 式 是 不 同 的 。 


421 对 称 密码 体制 的 密 钥 分 配 


用 户 A 和 了 BB 获 得 共享 的 对 称 密 钥 有 如 下 几 种 方法 : 

(1) 密 钥 由 A 选取 并 通过 物理 手段 发 送 给 B。 

(2) 密 钥 由 第 三 方 选 取 并 通过 物理 手段 发 送 给 A 和 B。 

(3) 如 果 A、B 事 先 已 有 一 个 密 钥 , 则 其 中 一 方 选取 新 密 钥 后 ,用 已 有 的 密 钥 加 密 新 
密 钥 并 发 送 给 另 一 方 。 

(4) 如 果 A 和 也 与 第 三 方 C 分 别 有 一 个 保密 信道 ( 即 C 与 每 个 用 户 事 先 共享 一 个 对 
称 密 钥 ) , 则 C 为 A.B 选取 密 钥 后 ,分 别 在 两 个 保密 信道 上 发 送 给 A、B。 

注意 : 如 果 有 个 用 户 , 需 要 两 两 拥有 共享 密 钥 ,那么 一 共 需 要 nln 一 1)/2 的 密 钥 ， 
而 采用 第 4 种 方法 ,只 需要 nn 个 密 钥 。 

第 4 种 方法 称 为 集中 式 密 钥 分 配方 案 , 它 是 指 由 密 钥 分 配 中心 (KDC) 负 责 密 钥 的 产 
生 并 分 配给 通信 双方 。 在 这 种 情况 下 ,用 户 不 需要 保存 大 量 的 会 话 密 钥 ,只 需 保存 和 
KDC 通信 的 加 密 密 钥 。 其 缺点 是 通信 量 大 ,同时 要 求 具 有 较 好 的 鉴别 功能 以 鉴别 KDC 
和 通信 双方 。 图 4.2 是 一 种 具有 KDC 的 密 钥 分 配方 案 的 实现 ( 称 为 Needham-Schroeder 
协议 ) 。 
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密 钥 分 配 中 心 
KDC 
© 


® 


4.2 具有 KDC 的 对 称 密 钥 分 配方 案 


该 密 钥 分 配方 案 的 具体 过 程 如 下 : 

(1) A 向 KDC 发 出 会 话 密 钥 请 求 , 请 求 的 消息 由 两 部 分 组 成 ,一 是 A 和 B 的 身份 
ID 和 IDs ,二 是 本 次 业务 的 唯一 标识 符 Ni ,每 次 请 求 的 Ni 都 应 不 同 ,常用 一 个 时 间 戳 、 
一 个 计数 器 或 一 个 随机 数 作为 这 个 标识 符 。A 发 给 KDC 的 请 求 可 表示 为 

A— KDC: ID 1 IDs | Ni 

提示 : || 表示 连接 符 , 例 如 ,abc 上 fg 二 abcfg。 

(2) KDC 对 A 的 请 求 做 出 应 答 。 应 答 是 由 KDC 与 A 共享 的 密 钥 Ka 加 密 的 信息 ， 
因此 只 有 A 才能 成 功 地 对 这 一 信息 进行 解密 ,并 且 A 能 相信 信息 的 确 是 由 KDC 发 
出 的 。 

KDC—> A: Ex, LK, | IDA | IDs || N, || Ex LK, | IDAJJ 

信息 中 包括 A 希望 得 到 的 两 项 数据 : 一 次 性 会 话 密 钥 K.;A 在 第 (1) 步 中 发 出 的 请 
求 , 包 括 一 次 性 随机 数 Ni ,其 目的 是 使 A 将 收 到 的 应 答 信 息 与 发 出 的 请 求 比较 ,看 是 否 
匹配 。 因 此 A 能 印证 自己 发 出 的 请 求 在 被 KDC 收 到 之 前 未 被 自 改 ,而 且 A 还 能 根据 一 
次 性 随机 数 相信 自己 收 到 的 应 答 不 是 重 放 对 过 去 请 求 的 应 答 。 

KDC 到 A 的 消息 中 含有 A 和 B 的 身份 IDA e IDa ,又 可 防止 攻击 者 将 KDC 发 往 其 
他 用 户 的 应 答 转向 重 放 给 A。 

此 外 ,信息 中 还 有 B 希望 得 到 的 两 项 数据 : 一 次 性 会 话 密 钥 K, 以 及 A 的 身份 IDA。 
这 两 项 由 Ks 加 密 , 将 由 A 转发 给 B, 以 建立 A 和 B 之 间 的 连接 并 用 于 向 BB 证 明 人 的 
身份 。 

(3) A 收 到 KDC 响应 的 信息 后 ,将 会 话 密 钥 K, 保存 起 来 ,同时 将 经 过 KDC 与 B 的 
共享 密 钥 加 密 过 的 信息 传送 给 B。B 收 到 后 ,得 到 会 话 密 钥 K,, 并 从 IDA 可 知 对 方 是 A， 
而 且 还 从 Ex, 知道 K, 确实 来 自 KDC。 由 于 A 转发 的 是 加 密 后 的 密 文 ,所 以 转发 内 容 不 
会 被 窃听 。 

A 一 B: Erke[K.| IDA] 

(4) B 用 会 话 密 钥 加 密 另 一 个 随机 数 N; ,将 加 密 结 果 发 送 给 A, 并 告诉 A,B 当前 是 
可 以 通信 的 。 

B— A: Er.[LN,] 

(5) A 响应 B 发 送 的 信息 N; ,并 对 Ns 进行 某 种 函数 变换 (以 防止 攻击 者 将 BA 的 
消息 反 向 重 放 ) ,同时 用 会 话 密 钥 K, 进行 加 密 ,然后 将 其 发 送 给 B。 
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Hts tin 


A 一 B: Er [Lf(N2)] 
实际 上 第 (3) 步 已 经 完成 了 密 钥 的 分 配 , 第 (4)、(5) 步 结合 第 (3) 步 执行 的 是 认证 功 
能 ,使 BB 能够 确认 所 收 到 的 信息 不 是 一 个 重 放 。 


422 公 钥 密码 体制 的 密 钥 分 配 


虽然 公 钥 密 码 体制 中 使 用 的 公 钥 可 以 公开 ,但 必须 保证 公 钥 的 真实 性 。 公 钥 的 发 布 
一 般 有 以 下 几 种 方法 。 


1. 公开 发 布 


用 户 A 将 自己 的 公 钥 分 发 给 其 他 每 一 个 用 户 。 这 种 方法 简单 ,但 没有 认证 性 , 因为 
任何 人 都 可 以 伪造 A 的 这 种 公开 发 布 。 如 果 某 个 用 户 假装 是 用 户 A, 并 以 A 的 名 义 向 
其 他 用 户 发 送 或 广播 自己 的 公 钥 , 则 在 A 发 现 假冒 者 以 前 ,这 一 假冒 者 可 解密 所 有 发 给 
A 的 加 密 消息 (因为 它 拥 有 该 假冒 公 钥 对 应 的 私 钥 ) ,而 且 假 冒 者 还 能 用 伪造 的 密 钥 获得 

2. 公 钥 目录 表 


建立 一 个 动态 可 访问 的 公 钥 目录 表 , 目 录 表 的 建立 维护 以 及 公 钥 的 发 布 由 可 信 的 
实体 或 组 织 承 担 。 目 录 管 理 员 为 每 个 用 户 在 目录 表 里 建立 一 个 目录 项 ,目录 项 中 包括 两 
个 数据 项 : 一 是 用 户 名 ,二 是 用 户 的 公开 密 钥 。 每 一 用 户 都 亲自 或 以 某 种 安全 的 认证 通 
信和 在 管理 员 处 为 自己 的 公开 密 钥 注 册 , 用 户 可 以 随时 蔡 换 自己 的 密 钥 ,管理 员 定 期 公布 
或 定期 更 新 目录 。 其 他 用 户 可 以 通过 公开 的 渠道 访问 该 公 钥 目 录 来 获取 公 钥 。 

这 种 方法 比 个 人 公开 发 布 公 钥 要 安全 ,但 它 也 存在 缺点 : 一 是 一 旦 管理 员 的 秘密 钥 
被 攻击 者 窃取 , 则 攻击 者 可 以 修改 公 钥 目录 表 , 传 递 伪造 的 公 钥 ;二 是 用 户 必 须知 道 这 个 
公 钥 目录 表 的 位 置 且 信任 该 目录 。 


3. 公 钥 管理 机 构 ( 在 线 服务 器 方式 ) 


公 钥 管理 机 构 为 用 户 建立 维护 动态 的 公 钥 目录 。 每 个 用 户 知道 管理 机 构 的 公 钥 ,只 
有 管理 机 构 知 道 自 己 的 私 钥 。 这 种 方案 如 图 4. 3 所 示 ,步骤 如 下 : 

(1) A 发 送 一 条 带 有 时 间 戳 的 消息 给 公 钥 目录 管理 员 ,以 请 求 B 的 公 

(2) 管理 员 M 给 A 发 送 一 条 用 其 私 钥 SKw 签名 的 包括 B 的 公 钥 PKs 在 内 的 消息 ， 
A 用 管理 员 公 钥 PKw 解密 得 到 B 的 公 钥 PKs。 

(3) A 用 BB 的 公 钥 加 密 IDA | Ni 发 送 给 B 表示 请 求 和 B 通信,B 用 其 私 钥 SKs 解密 
成 功 ,就 同意 通信 ,然后 B 以 同样 的 方法 从 管理 员 处 检索 到 A 的 公 钥 。 

其 中 , 公 钥 管理 机 构 应 答 的 消息 (如 图 4. 3 中 的 @) 中 的 Request 用 于 A 验证 收 到 的 
应 答 的 确 是 对 相应 请 求 的 应 答 . 且 还 能 验证 自己 最 初 发 送 的 请 求 在 被 M 收 到 之 前 是 否 被 
算 改 。 最 初 的 时 间 蕉 Time 使 A 相信 管理 机 构 发 来 的 消息 不 是 一 个 旧 消 息 。 图 4. 3 中 
的 @ 和 @ 是 使 A.B 能 相互 确认 对 方 身份 ,因为 只 有 B 才能 成 功 解密 得 到 Ni ,只 有 A 才 
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能 得 到 N， 。 


- DD RequestllTime> 
© RequestlTime' 


© Esx, PKAlIRequest|Time,] 
回 EskvlPKallRequestlTime] 


@ EnxslIDAIN] 


© Epk, [NillN,] 


© Evkg[N,] 


4.3 带 认 证 的 公 钥 分 配 (在 线 服务 器 方式 ) 


该 方案 安全 性 很 高 ,但 也 有 缺点 : 只 要 用 户 与 其 他 用 户 通 信 ,就 必须 向 公 钥 管理 机 构 
申请 对 方 的 公 钥 , 故 公 钥 分 发 服务 器 必须 在 线 , 这 导致 公 钥 分 发 服务 器 可 能 成 为 性 能 的 
瓶颈 。 


4. 公 和 钥 证 书 ( 离 线 服务 器 方式 ) 

为 解决 公 钥 管理 机 构 瓶颈 的 问题 ,可 以 通过 公 钥 证 书 来 实现 。 即 ,使 用 公 钥 证 书 来 
进行 公 钥 分 配 ,这 样 就 不 要 求 与 公 钥 管 理 机 构 直 接 通 信 。 公 钥 证 书 由 认证 机 构 CA 为 用 
户 颁发 。 这 样 ,用 户 只 要 获得 CA 的 公 钥 ,就 可 以 安全 地 获得 其 他 用 户 的 公 钥 。 证 书 的 形 
式 为 


CA = Esx, [T,IDa ,PKA] 
其 中 ,CA 表示 用 户 A 的 证 书 ,IDA 是 用 户 A 的 身份 标识 ,PKA 是 用 户 A 的 公 钥 ,TT 是 当 
前 时 间 惟 ,SKes 是 CA 的 私 钥 。 
由 于 只 有 CA 的 公 钥 才能 解读 证 书 ,接收 方 如 果 使 用 CA 的 公 钥 解密 成 功 ,就 能 确信 
证 书 是 由 CA 颁发 的 ,同时 表明 证 书 中 的 内 容 没 有 被 算 改 过 ,由 于 证 书 将 A 的 身份 标识 
和 A 的 公 钥 绑 定 在 一 起 ,因此 接收 方 可 确信 PKA 就 是 用 户 A 的 公 钥 。 时 间 戳 T 主要 用 
来 表明 证 书 没 有 过 期 ,防止 攻击 者 重 放 旧 证 书 。 


423 用 公 钥 密码 体制 分 配对 称 密 钥 


公 钥 加 密 的 一 个 主要 用 途 是 分 配对 称 密码 体制 使 用 的 密 钥 。 用 公 钥 密码 体制 分 配 
对 称 密 钥 主要 有 两 种 方法 : 其 一 是 使 用 数字 信封 技术 , 它 的 具体 实现 过 程 有 以 下 两 种 方 
案 : 其 二 是 使 用 4. 2. 4 节 介 绍 的 Diffie-Hellman 密 钥 加 密 算法 。 


1. 简单 分 配 


该 方案 如 图 4.4 所 示 。 当 接收 方 B 获得 发 送 方 A 的 公 钥 后 ,接收 方 B 自己 产生 一 个 
会 话 密 钥 Ks ,然后 用 A 的 公 钥 加 密 得 到 Epr、LKsj] 后 发 送 给 A;A 用 自己 的 私 钥 解 密 就 
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全 sxsean 


得 到 Ks 了 。 对 称 密 钥 分 配 完 后 ,A 可 以 将 其 公私 钥 CPKA,SKA) 销 毁 ,B 将 A 的 公 钥 
(PKA) 销 毁 。 但 这 一 方案 的 缺点 是 不 能 保证 B 获得 的 公 钥 确实 来 自 A, 如 果 攻 击 者 截获 
A 的 公 钥 PKA ,将 其 修改 为 自己 的 公 钥 PK 冒充 A 发 送 给 B, 则 攻击 者 可 以 轻易 地 用 该 
公 钥 对 应 的 私 钥 解密 得 到 Ks 了 ,之 后 再 用 A 的 公 钥 加 密 Ks 发 给 A, 这 样 A 也 不 能 发 觉 
Ks 已 经 被 攻击 者 截获 了 。A、B 之 间 以 后 用 Ks 加 密 的 信息 将 轻易 被 攻击 者 解密 。 


© IDAIPKA 


A B 


@ Erxa(Ks) 


4.4 简单 分 配方 案 


2. 具有 保密 和 认证 功能 的 分 配 


针对 简单 分 配 密 钥 不 具有 认证 性 的 缺点 ,人 们 又 设计 出 具有 保密 和 认证 功能 的 密 钥 
分 配方 案 , 如 图 4.5 所 示 。 


EvxalNIDA 
Epka [NIN] 
(i 措 收 方 
B 
EpkslN2] 
Enxa [EskalKs]] 


图 4.5 有 具有 保密 和 认证 功能 的 密 钥 分 配方 案 


假设 A 和 B 已 经 完成 了 公 钥 交换 , 则 接 下 来 可 以 这 样 分 配 会 话 密 钥 : 

(1) A 用 B 的 公 钥 PKs 加 密 A 的 身份 IDa 和 一 个 一 次 性 随机 数 Ni ,该 随机 数 唯一 
地 标识 本 次 业务 。 

(2) B 解密 后 得 到 Ni ,再 产生 一 个 新 随机 数 N; ,然后 用 A 的 公 钥 PKA 加 密 Ni 
Ns 发 送 给 A。 由 于 只 有 B 才 能 解密 上 一 步 的 加 密 , 所 以 B 发 送 来 的 信息 中 的 Ni 使 A 
能 确信 对 方 是 B。 

(3) A 用 B 的 公 钥 PKs 对 N 加 密 后 返 送 给 B, 使 B 也 能 相信 对 方 的 确 是 A。 

(4) B 产生 会 话 密 钥 Ks ,然后 将 Epk LEsxk, LKs]] 发 送 给 A, 其 中 用 A 的 公开 钥 加 密 
是 为 了 保证 只 有 A 才能 解密 加 密 结果 ,用 B 的 私 钥 加 密 是 为 了 保证 该 加 密 结果 只 有 也 能 
发 送 。A 用 自己 的 私 钥 解密 后 再 用 B 的 公 钥 解密 即 得 到 Ks, 从 而 完成 了 会 话 密 钥 的 
分 配 。 


424 Diffie Helman 密 钥 交 换算 法 


Diffie-Hellman 算法 是 第 一 个 公 钥 密 码 算法 ,发 明 于 1976 年 ,该 算法 的 安全 性 基于 
求解 离散 对 数 的 困难 性 。Diffie-Hellman 算法 只 能 用 于 密 钥 分 配 ,而 不 能 用 于 加 密 / 解 密 
信息 或 数字 签名 。 

假设 A 和 B 想 在 不 安全 的 信道 上 传输 对 称 密 钥 玉 . 则 密 钥 在 传输 时 有 可 能 被 线路 窃 


Ps 密 钥 管理 与 密 钥 分 配 


97 


听 者 获取 。 如 果 信 道上 传输 的 只 是 对 称 密 钥 的 一 部 分 .那么 窃听 者 即使 窃取 到 这 一 部 分 
密 钥 也 没 办 法 恢复 出 整个 密 钥 。Diffie-Hellman 算法 设计 的 思想 正 是 依据 这 一 点 , 当 在 
信道 上 传输 部 分 密 钥 的 过 程 中 ,对 称 密 钥 K 实际 上 根本 还 未 生成 ,包括 A 和 了 在 内 的 所 
有 人 都 无 法 知道 这 个 密 钥 K 到 底 是 什么 。 因 为 “ 密 钥 ?在 信道 传输 时 尚 不 存在 ,窃听 者 当 
然 不 可 能 在 信道 上 急 取 到 该 “ 密 钥 ”。 


1. Diffie-Hellman 密 钥 交 换算 法 的 过 程 


Diffie-Hellman 密 钥 交 换算 法 的 步骤 如 下 : 

(1) Alice 和 Bob 协商 一 个 大 素数 p 及 p 的 本 原 根 a,a 和 pp 可 以 公开 ,也 就 是 说 
Alice 可 以 在 不 安全 的 信道 上 把 a 和 pp 传送 给 Bob。 

(2) Alice 秘密 产生 一 个 随机 数 zx, 计算 X= 二 a” mod p ,然后 把 X 发 送 给 Bob。 

(3) Bob 秘密 产生 一 个 随机 数 y, 计 算 Y=a” mod p ,然后 把 Y 发 送 给 Alice。 

(4) Alice 计算 KK 二 Y* mod p,k 就 是 协商 的 对 称 密 钥 。 

(5) Bob 计算 天 "一 Xy mod p。 

证 明 : K 和 kK 是 恒 等 的 。 

K=Ymodp=(a) modp= (a)modp= Xmodp=K’ 

线路 上 的 窃听 者 只 能 窃取 到 ap X 和 YY 的 值 ,他 如 果 想 获得 KK 的 值 ,唯一 的 办 法 就 是 还 
要 得 到 x 或 y, 而 z+ 或 y 是 不 会 在 信道 上 传输 的 ,因此 他 无 法 窃取 到 。 除 非 他 能 计算 离散 
对 数 , 恢 复出 x 或 y( 而 这 等 价 于 计算 离散 对 数 的 困难 性 ) ,否则 就 无 法 得 到 KK。 因此 ,K 
可 作为 Alice 和 Bob 进行 协商 生成 的 秘密 密 钥 。 这 个 过 程 如 图 4.6 所 示 。 


Alice Bob 
密 钥 的 1/3 是 公开 的 

G 利 六 | ! 后 二 二 志和 二 二 二 三 二 避 afllp 
Alice 选 择 一 个 随 她 发 送 X 他 发 送 Y Bob 选择 一 个 随 
机 数 x 填 满 密 钥 EE 给 Bob 给 Alice 了 机 数 » 填 满 密 钥 
的 1/3 的 1/3 

a 和 p a 和 p 

匡 弄 | | 
四 J 
afllp 根据 这 3 部 分 求 出 密 钥 K afllp 


图 4.6 ”Diffie-Hellman 密 钥 生 成 过 程 示意 图 


下 面 是 Diffie-Hellman 密 钥 交 换算 法 的 过 程 举例 (在 这 个 例子 中 用 了 小 数字 ,但 是 要 
注意 ,在 实际 情况 中 ,数字 是 非常 大 的 ) 。 假 定 g 王 7 和 /一 23, 则 算法 步骤 如 下 : 

(1) Alice 选择 z 一 3 并 算出 X=7? mod 23 一 21。 

(2) Bob 选择 > 一 6 并 算出 Y 王 75 mod 23 一 4。 


98 


全 sxsean 


(3) Alice 发 送 数字 21 给 Bob。 
(4) Bob 发 送 数字 4 给 Alice。 
(5) Alice 算出 对 称 密 钥 K==43 mod 23 王 18。 
(6) Bob 算出 对 称 密 钥 K 二 21 mod 23 一 18。 
Alice 的 开 值 和 Bob 的 开 值 是 相同 的 : 
s2 modp=7’ mod35=18 


2. Diffie-Hellman 密 钥 交换 的 特点 


(1) Bob 和 Alice 在 X 和 YY 传输 过 来 之 前 都 不 知道 最 终 要 共享 的 密 钥 ( 明 文 信息 ) 到 
底 是 什么 ,而 加 密 过 程 的 前 提 是 明文 信息 必须 已 知 ,才能 进行 加 密 , 因 此 该 算法 不 能 对 信 
息 进 行 加 密 。 

(2) Bob 和 Alice 相互 之 间 都 不 分 享 他 们 各 自 的 保密 数 x 和 y ,使 攻击 者 无 法 究 
取 到 。 

(3) 攻击 者 能 够 得 到 g、p 以 及 值 g" mod p 和 g* mod p, 而 得 到 K 的 唯一 办 法 是 计 
算出 a 和 46, 这 等 价 于 求解 离散 对 数 问 题 。 


3. Diffie-Hellman 算法 的 安全 性 分 析 


Diffie-Hellman 算法 可 能 受到 两 种 攻击 : 离散 对 数 攻击 和 中 间 人 攻击 。 

1) 离散 对 数 攻 击 

由 于 该 算法 的 安全 性 基于 离散 对 数 问题 的 困难 性 ,攻击 者 如 果 能 够 通过 截获 a、p、X 
和 YY 的 值 ,计算 出 x 或 y, 密 钥 K 就 不 再 是 秘密 了 。 为 了 使 Diffie-Hellman 能 够 抵抗 离 
散 对 数 攻击 ,推荐 采取 以 下 措施 。 

(1) 素数 p 必须 非常 大 (大 于 300 位 的 十 进 制 数 ) 。 

(2) 素数 p 的 选择 必须 使 得 p 一 1 具有 至 少 一 个 大 的 素数 因子 (大 于 60 位 的 十 进 制 
素数 ) 。 

(3) 双方 计算 出 对 称 密 钥 后 ,必须 立即 销毁 zx 和 >y ,也 就 是 zx 和 yy 的 值 只 能 使 用 
一 次 。 
(4) 生成 元 必须 从 群 二 Z; ,XX 二 中 选择 。 

2) 中 间 人 攻击 

该 协议 还 有 一 个 缺点 ,攻击 者 不 需要 求 出 x 和 yy 的 值 ,也 可 以 攻击 这 个 协议 。 他 可 
以 创建 两 个 密 钥 来 分 别 欺 骗 A 和 B: 一 个 是 他 和 A 之 间 的 , 另 一 个 是 他 和 B 之 间 的 。 中 
间 人 攻击 的 过 程 如 下 : 

(1) Alice 选择 z, 计 算出 X=az mod ,然后 把 X 发 送 给 Bob。 

(2) 攻击 者 Eve 先 拦 截 X,X 被 Eve 拦截 并 没有 到 达 Bob 那里 。 然 后 他 选择 = ,计算 
出 Z 一 as mod 户 ,并 将 Z 分 别 发 送 给 Alice 和 Bob。 

(3) Bob 选择 ,计算 出 Y 一 ar mod 户 ,并 发 送 了 给 Alice, 但 Y 被 Eve 拦截 并 没有 到 
达 Alice 那里 。 

(4) Alice 和 Eve 算出 Ki 二 a* mod 户 ,这 就 是 Eve 和 Alice 之 间 的 共享 密 钥 ,然而 ， 
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Alice 却 认为 这 是 她 和 Bob 之 间 的 共享 密 钥 。 

(5) Eve 和 Bob 算出 Ks 二 a” mod 户 ,这 就 是 Eve 和 Bob 之 间 的 共享 密 钥 ,然而 ,Bob 
却 认为 这 是 他 和 Alice 之 间 的 共享 密 钥 。 

也 就 是 说 ,Eve 创建 了 两 个 密 钥 K! 和 K, (而 不 是 一 个 ): 一 个 是 Eve 和 Alice 之 间 
的 ,一 个 是 Eve 和 Bob 之 间 的 。 如 果 Alice 发 送 用 K, 加 密 的 数据 给 Bob(Alice 和 Eve 共 
享 ) ,那么 这 个 数据 就 可 以 被 Eve 解密 并 读 出 其 内 容 。Eve 可 以 发 送 一 个 用 K,(Eve 和 
Bob 共享 ) 加 密 的 信息 给 Bob, 她 甚至 可 以 改变 信息 或 干脆 发 送 一 个 新 的 信息 。Bob 被 欺 
骗 从 而 相信 信息 是 来 自 Alice 的 ,相似 的 情形 也 可 以 在 另 一 个 方向 上 对 Alice 发 生 。 


43 密 铜 分配 的 新 技术 


431 量子 密码 学 


有 关 无 条 件 安全 的 概念 最 早 来 自 香农 的 保密 通信 模型 ,香农 证 明了 只 有 一 次 一 密 的 
密码 体制 才 是 无 条 件 安全 (绝对 安全 ) 的 ,但 是 经 典 的 一 次 一 密 密 码 体制 (如 Vernam 提出 
的 “一 次 密码 本 ”,One-Time Pad,OTP) 是 无 法 应 用 到 实际 中 的 ,这 是 因为 : 四 密 钥 必 须 
完全 随机 ,而 使 用 经 典 技术 的 随机 数 产生 器 只 能 产生 伪 随 机 数 ; @ 密 钥 不 能 重复 使 用 ,每 
个 密 钥 使 用 一 次 后 就 要 丢掉 ; @ 密 钥 序 列 的 长 度 要 等 于 被 加 密 消息 的 长 度 。 

量子 密码 学 (quantum cryptography) 是 近年 来 现代 密码 学 领域 的 一 个 新 方向 ,量子 
密码 的 安全 性 基于 量子 力学 的 测 不 准 原理 和 不 可 克隆 性 ,其 特点 在 于 易于 实现 无 条 件 安 
全 性 ,其 无 条 件 安全 的 理论 基础 是 不 可 克隆 原理 ;并 且 对 外 界 的 任何 扰动 都 具有 可 检测 
性 ,扰动 的 可 检测 性 的 理论 基础 是 海 森 堡 (Heisenberg) 测 不 准 原 理 , 所 以 一 旦 窃听 者 存 
在 ,会 立刻 被 量子 密码 的 使 用 者 所 知道 。 因 此 ,要 破译 量子 密码 协议 就 意味 着 否定 量子 
力学 定律 ,所 以 量子 密码 学 是 一 种 理论 上 绝对 安全 的 密码 技术 。 但 量子 密码 学 应 用 于 实 
际 还 存在 一 个 技术 难题 : 由 于 使 用 量子 密 钥 在 光纤 中 传输 时 容易 消耗 ,因此 量子 密码 的 
长 距离 通信 难度 较 大 。 


1. 量子 密 钥 分 配 的 原理 


目前 ,量子 密码 的 研究 主要 集中 在 量子 密 钥 分 配 (Quantum Key Distribution, QKD) 
方面 ,1984 年 ,Bennett 和 Brassard 提出 了 第 一 个 QKD 协议 , 即 BB84 协议 ,从 理论 上 解 
决 了 量子 密 钥 分 发 的 难题 ,标志 着 量子 密码 的 诞生 。 

量子 密 钥 分 配 的 原理 来 源 于 光子 偏振 的 原理 : 光子 在 传播 时 不 断 地 振动 。 光 子 振动 
的 方向 是 任意 的 , 既 可 能 沿 水 平 或 垂直 方向 振动 ,也 可 能 沿 某 一 倾斜 方向 振动 。 如 果 一 
大 批 光 子 都 沿 同样 的 方向 振动 则 称 为 偏振 光 , 如 果 沿 各 种 不 同方 向 振动 , 则 称 为 非 偏 振 
光 。 通 常生 活 中 的 光 如 日 光 、 照 明灯 光 等 都 是 非 偏振 光 。 偏 振 滤 光 器 只 允许 沿 特 定 方 向 
偏振 的 光子 通过 ,并 吸收 其 余 的 光子 。 这 是 因为 经 过 偏振 滤 光 器 时 ,每 个 光子 都 有 突然 
改变 方向 并 使 偏振 方向 与 偏振 滤 光 器 的 倾斜 方向 一 致 的 可 能 性 。 

设 光子 的 偏振 方向 与 偏振 滤 光 器 的 倾斜 方向 夹 角 为 a, 当 a 很 小 时 ,光子 改变 偏振 方 
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向 并 通过 偏振 滤 光 器 的 概率 大 ,否则 就 小 。 特 别 地 , 当 一 90" 时 ,其 概率 为 0;a 一 45° 时 ， 
概率 为 0.5;a 二 0°" 时 ,概率 为 1。 可 以 在 任意 基 上 测量 极 化 状态 : 直角 的 两 个 方向 和 对 角 
线 的 两 个 方向 。 一 个 基 的 例子 就 是 直线 : 水 平 线 和 垂直 线 ; 男 一 个 是 对 角 线 : 左 对 角 线 
和 右 对 角 线 。 如 果 一 个 光子 脉冲 在 一 个 给 定 的 基 上 被 极 化 ,而 且 又 在 同一 个 基 上 测量 ， 
就 能 够 得 到 极 化 状态 。 如 果 在 一 个 错误 的 基 上 测量 极 化 状态 ,将 得 到 随机 的 结果 。 因 
此 ,可 以 使 用 这 个 特性 来 生成 密 钥 。 


2. 量子 密 钥 分 配 的 步骤 


假设 通信 双方 A 和 B 要 使 用 上 述 量 子 密码 理论 进行 密 钥 分 配 , 则 基本 步骤 如 下 : 

(1) A 随机 地 选择 比特 流 ( 明 文 ) ,例如 : 11010010101010101…,A 随机 地 设置 偏振 
滤 光 器 的 方向 ,例如 : + 上 | 十 十 | 十 | 一 …, 其 中 “十 ”表示 左右 对 角 方向 ;“ 一 ” 表 
示 水 平方 向 ;*1” 表 示 垂 直方 向 。 

A 和 BB 事先 约 定好 编码 规则 。 例 如 , 令 偏 振 滤 光 器 的 左 对 角 线 “/” 和 水 平方 向 “一 ” 
表示 0, 右 对 角 线 方向 “\” 和 垂直 方向 |” 表示 1。 

(2) A 把 一 串 光 子 脉冲 发 送 给 B, 其 中 每 一 个 脉冲 随机 地 在 4 个 方向 上 被 极 化 成 水 
平 线 、 垂 直线 、 左 对 角 线 和 右 对 角 线 。 比 如 ,A 给 B 发 送 的 是 

| 1/ N= | 

(3) B 设 置 接收 滤 光 器 的 序列 ,并 读 取 接收 到 的 光子 序列 ,然后 转换 为 相应 的 比特 
流 ,但 由 于 B 并 不 知道 A 的 设置 ,因此 他 只 能 随机 地 设置 ; 当 B 正确 地 设置 了 他 的 检测 
器 ,B 将 记录 下 正确 的 极 化 。 如 果 B 将 检测 器 设置 成 测量 直线 化 ,而 脉冲 被 直线 化 ,那么 
他 将 获得 A 极 化 光子 的 方向 ;如 果 B 将 检测 器 设置 成 对 角 线 极 化 ,而 脉冲 被 直线 化 ,那么 
B 将 得 到 一 个 随机 的 测量 结果 。 因 而 B 很 难 确定 A 极 化 光子 的 方向 。 

(4) B 通 过 传统 的 公共 信道 ( 非 保 密 信道 ) 告 诉 A 其 滤 光 器 序列 的 设置 ,A 对 照 自动 
的 位 置 , 通 过 传统 的 非 保 密 信道 告诉 B 设置 正确 的 位 置 。 

(5) B 选择 正确 设置 的 比特 ,并 向 A 公布 部 分 选 定 的 比特 。 

(6) A 检查 了 B 公 布 的 比特 与 自己 所 发 送 的 比特 的 一 致 性 , 若 没 有 发 生 窃听 行为 , 则 两 
者 应 该 是 一 致 的 。 若 两 者 不 一 致 , 则 可 以 断定 发 生 了 窃听 行为 。 

(7) 如 果 没 有 发 生 人 窃听 行为 ,A 和 B 双方 可 以 约定 用 剩余 的 比特 作为 共享 的 会 话 密 
钥 , 从 而 实现 密 钥 的 分 配 。 

如 果 A 和 B 获得 的 比特 位 在 数量 上 没有 达到 要 求 , 它 们 可 以 重复 上 述 办 法 获得 足够 
多 的 比特 位 。 

以 上 是 理想 情况 下 A 和 B 可 以 共享 相同 的 密 钥 . 但 实际 上 ,信道 噪声 不 可 避免 ,A 和 
B 得 到 的 密 钥 往往 有 区 别 , 必 须 借助 于 纠 错 码 解决 。 

BB84 协议 的 安全 性 由 量子 力学 著名 的 海 森 堡 测 不 准 原理 和 不 可 克隆 定理 所 保证 。 
光子 的 4 个 偏振 态 中 , 线 偏振 态 和 圆 偏振 态 是 共 罗 态 , 满 足 测 不 准 原理 的 条 件 。 这 样 , 任 
何 窃听 者 的 窃听 必定 会 扰动 原来 的 量子 态 , 合 法 通信 者 之 间 通 过 协商 ,可 以 很 容易 检测 
出 该 扰动 ,从 而 检测 出 窃听 者 的 窃听 行为 。 而 且 , 线 偏振 态 和 圆 偏 振 态 是 非 正 交 的 ,攻击 
者 不 可 能 精确 地 区 分 它们 。 
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为 了 使 信息 保密 ,人 们 想 出 了 两 种 办 法 : 一 种 是 加 密 技术 ,加 密 技 术 的 本 质 是 将 信息 
(明文 ) 转 换 成 另外 一 种 形式 ( 密 文 ) ,使 其 他 人 辨认 不 出 ,达到 伪装 的 效果 ; 另 一 种 是 信息 
隐藏 (information hiding) 技 术 , 它 是 将 要 保密 的 信息 藏 在 其 他 载体 信息 里 ,使 其 他 人 找 
不 到 。 例 如 , 古 时 候 的 藏 头 诗 就 是 将 秘密 信息 藏 在 一 首 诗 中 ,属于 一 种 简单 的 信息 隐藏 
技术 。 信 息 隐 藏 技术 本 质 上 已 不 属于 密码 学 的 范畴 了 ,在 这 里 介绍 只 是 为 了 和 密码 技术 
做 一 个 对 比 。 


1. 信息 隐藏 技术 的 原理 和 方法 


信息 隐藏 技术 包括 秘密 信息 .载体 信息 、 伪 装 对 象 和 伪装 密 钥 几 个 概念 ,图 4.7 是 信 
息 隐 藏 的 原理 图 。 


载体 。 | 载体 对 象 
信息 源 
秘密 消息 秘密 消息 m 
密 钥 


4.7 信息 隐藏 的 原理 框图 


(1) 秘密 消息 (secret message) : 又 称 能 入 数据 (embedded data) ,是 要 隐藏 的 信息 ， 
它 一 般 是 有 意义 的 明文 信息 ,如 版 权 信 息 等 。 

(2) 载体 对 象 (cover object) : 又 称 掩饰 对 象 , 是 公开 信息 ,主要 用 来 隐蔽 秘密 信息 ， 
可 以 是 文字 声音、 图 像 .视频 等 。 但 一 般 多 采用 多 媒体 (特别 是 图 像 ) 作 为 载体 ,这 是 
因为 : 

@ 多 媒体 信息 本 身 存 在 很 大 的 元 余 性 ,从 信息 论 角 度 看 ,未 压缩 的 多 媒体 信息 的 编 
码 效率 是 很 低 的 ,所 以 将 某 些 信息 嵌入 到 多 媒体 信息 中 进行 秘密 传送 是 完全 可 行 的 ,并 
不 会 影响 多 媒体 本 身 的 传送 和 使 用 。 

@ 人 眼 或 人 耳 本 身 对 某 些 信 息 有 一 定 的 掩蔽 效应 ,比如 人 眼 对 灰 度 的 分 辨 率 只 有 几 
十 个 灰 度 级 ;对 边缘 附近 的 信息 不 敏感 等 。 利 用 人 的 这 些 特 点 ,可 以 很 好 地 将 信息 隐藏 
而 不 被 察觉 。 

(3) 伪装 对 象 (conceal object) : 又 称 隐蔽 载体 ,是 秘密 信息 和 载体 信息 的 组 合 。 

(4) 伪装 密 钥 : 在 实际 中 ,为 了 使 信息 隐藏 的 算法 能 够 公开 ,一 般 在 秘密 信息 的 嵌入 
过 程 中 使 用 密 钥 ,此 密 钥 称 为 伪装 密 钥 。 


2. 实现 信息 隐藏 的 基本 要 求 


(1) 载体 信息 是 正常 的 ,不 会 引起 怀疑 。 
(2) 伪装 对 象 与 载体 对 象 无 法 区 分 ,无 论 从 感 观 上 ,还 是 从 计算 机 的 分 析 上 。 信 息 隐 
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藏 的 安全 性 取决 于 攻击 者 有 没有 能 力 将 载体 对 象 和 伪装 对 象 区 别 开 来 。 如 果 攻 击 者 经 
过 各 种 方法 仍然 不 能 判断 是 否 有 信息 隐藏 , 则 认为 信息 隐藏 系统 是 安全 的 。 
(3) 对 伪装 对 象 的 正常 处 理 不 应 破坏 隐藏 的 信息 。 


3. 信息 隐藏 技术 的 应 用 


信息 隐藏 技术 涉及 很 多 应 用 领域 ,其 中 主要 应 用 领域 可 总 结 为 5 个 方面 : 

(1) 版 权 保护 (copyright protection) : 信息 隐藏 技术 目前 绝 大 部 分 研究 成 果 都 是 在 
这 一 领域 中 取得 的 。 信 息 隐 藏 技术 在 应 用 于 版 权 保护 时 ,所 内 入 的 隐藏 信息 通常 被 称 为 
“数字 水 印 ”(digital watermarking)。 版 权 保护 所 需 从 入 的 数据 量 很 小 ,但 对 隐藏 信息 的 
安全 性 和 和 鲁 棒 性 (robust) 要 求 很 高 。 

(2) 数据 完整 性 鉴定 (integrity authentication) ,是 指 对 某 一 信号 的 真 伪 或 完整 性 的 
判别 ,并 进一步 需要 指出 该 信号 和 原始 信号 的 区 别 。 

(3) 扩充 数据 的 能 入 (augmentation data embedding) ,扩充 数据 主要 是 指 对 载体 信 
号 的 描述 或 参考 信息 .控制 信息 以 及 其 他 媒体 信号 等 。 例 如 ,可 以 通过 在 原文 件 ( 载 体 ) 
里 嵌入 时 间 截 的 信息 ,来 跟踪 载体 的 复制 ,删除 以 及 被 修改 的 历史 ,而 无 须 在 原 信号 上 附 
加 头 文件 或 历史 文件 ,避免 了 使 用 这 些 文件 时 文件 容易 被 改动 或 丢失 ,需要 占用 更 多 的 
传输 带宽 和 存储 空间 的 问题 。 

(4) 数据 保密 。 信 息 隐藏 技术 同样 可 以 起 到 数据 保密 的 作用 ,例如 网 上 银行 交易 中 
的 敏感 信息 .重要 文件 的 数字 签名 和 个 人 隐私 等 ,对 它们 进行 信息 隐藏 可 以 不 引起 好 事 
者 的 兴趣 ,从 而 保护 了 这 些 数据 。 

(5) 数据 的 不 可 抵赖 性 。 使 用 信息 隐藏 技术 中 的 水 印 技术 ,在 交易 体系 中 的 任何 一 
方 发 送 或 接收 信息 时 ,将 各 自 的 特征 标记 为 水 印 的 形式 加 入 到 传递 的 信息 中 ,这 种 水 印 
应 是 不 能 去 除 的 ,以 此 达到 交易 双方 不 能 否认 其 行为 的 目的 。 


4. 信息 隐藏 技术 的 优点 和 局 限 性 


信息 隐藏 技术 通过 将 信息 隐藏 起 来 使 其 具有 相当 高 的 安全 性 ,但 信息 隐藏 的 方法 一 
般 不 能 公开 ,这 使 其 在 算法 通用 性 方面 存在 问题 ,限制 了 其 在 大 规模 网 络 通信 中 的 应 用 。 
另外 ,信息 隐藏 技术 必须 将 秘密 信息 存放 在 载体 中 ,如 果 秘 密 信 息 比 较 大 , 则 需要 大 量 的 
载体 信息 来 装载 ,这 样 将 占用 大 量 的 网 络 带宽 和 存储 空间 。 

为 了 解决 这 些 问题 ,可 以 将 信息 隐藏 技术 和 加 密 技 术 结 合 应 用 ,例如 数字 版 权 管 理 
(Digital Rights Management,DRM) 就 是 将 版 权 信 息 加 密 后 再 嵌入 到 载体 文档 中 。 


忆 题 


1. 下 列 公 钥 加 密 算 法 中 ( ) 只 能 用 于 密 钥 交 换 。 

A. RSA B. Diffie-Hellman C. ECC D. ElGamal 
2. 多 层 密 钥 体制 可 解决 密 钥 的 问题 。 
3. 密 钥 管理 包括 哪些 基本 环节 ? 


人 = 密 钥 管理 与 密 钥 分 配 
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. 对 称 密 钥 密码 体制 和 公 钥 密码 体制 的 密 钥 分 配 各 有 哪些 方法 ? 
.如果 使 用 Diffie-Hellman 算法 分 配 密 钥 , 在 分 配 密 钥 前 ,发 送 方 是 否 知道 密 钥 


. 量子 密码 体制 与 传统 密码 体制 相 比 具有 哪 两 个 明显 优势 ? 
. 简 述 信息 隐藏 技术 和 加 密 技 术 的 区 别 。 


加 密 和 认证 是 现代 密码 学 最 主要 的 两 大 分 支 。 加 密 的 目的 是 防止 敌 方 获取 机 密 信 
息 ;认证 的 目的 则 是 为 了 防止 敌 方 欺骗 .伪造 、 算 改 、 抵 赖 等 形式 的 主动 攻击 。 

认证 (Cauthentication) 也 称 鉴别 ,是 验证 通信 对 象 是 原 定 者 而 不 是 冒名 顶 蔡 者 (身份 
认证 ) ,或 者 确认 收 到 的 消息 是 希望 的 而 不 是 伪造 的 或 被 自 改 过 的 (消息 认证 )。 认 证 技 
术 包 括 身份 认证 和 消息 认证 两 大 类 。 身 份 认 证 用 于 鉴别 用 户 或 实体 的 身份 ,而 消息 认证 
用 于 保证 通信 双方 收 到 信息 的 真实 性 和 完整 性 。 

认证 技术 的 实现 通常 需要 借助 于 加 密 和 数字 签名 等 密码 学 的 技术 。 实 际 上 ,数字 签 
名 本 身 也 是 一 种 认证 技术 , 它 可 用 来 鉴别 消息 的 来 源 。 


51 消 齐 和 认 和 琵 


消息 认证 是 一 个 过 程 , 用 来 验证 接收 消息 的 真实 性 (的 确 是 由 它 所 声称 的 实体 发 来 
的 ) 和 完整 性 (未 被 算 改 插入、 删除 ), 同 时 还 可 用 来 验证 消息 的 顺序 性 和 时 间 性 (未 重 
排 、 重 放 、 延 迟 )。 

实现 消息 认证 的 手段 可 分 为 4 类 : 利用 对 称 密码 体制 ,利用 公 钥 密码 体制 ,利用 散 列 
函数 和 利用 消息 认证 码 (MAC) 实 现 的 消息 认证 。 


511 对 称 密码 体制 实现 认证 


发 送 方 A 和 接收 方 B 事先 共享 一 个 密 钥 &。A 用 密 钥 & 对 消息 M 加 密 后 通过 公开 
信道 传送 给 B,B 接收 到 密 文 消息 后 ,通过 是 否 能 用 密 钥 & 将 其 恢复 成 合法 明文 来 判断 消 
息 是 否 来 自 A, 信 息 是 否 完整 ,如 图 5. 1 所 示 。 

这 种 方法 的 局 限 性 在 于 需要 接收 方 有 某 种 方法 能 判定 解密 出 来 的 明文 是 否 合法 , 因 
此 在 处 理 中 ,可 以 规定 合法 的 明文 只 能 是 属于 在 可 能 位 模式 上 有 微小 差异 的 一 个 小 子 
集 , 这 使 得 任何 伪造 密 文 解密 恢复 出 来 后 能 成 为 合法 明文 的 概率 非常 小 。 

在 实际 中 ,这 是 很 容易 实现 的 ,可 以 假定 明文 是 有 意义 的 语句 ,而 不 是 杂乱 无 章 的 字 
符 串 。 例 如 ,将 一 条 有 意义 的 明文 加 密 后 (无 论 使 用 什么 算法 加 密 ) , 它 都 会 以 极 大 的 概 
率 变 成 一 段 杂乱 无 章 的 字符 串 ,而 几乎 没有 可 能 变 成 另 一 条 有 意义 的 语句 。 因 此 ,如 果 发 
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M E ™| E(M) D .| M 
发 送 方 A 接收 方 B 


k 大 
DAEA(M)) 


图 5.1 用 对 称 加 密实 现 消息 鉴别 


送 方 不 知道 密 钥 ,用 不 正确 的 密 钥 (A' ) 对 明文 加 密 ,接收 方 收 到 后 用 正确 的 密 钥 上 对 密 文 
解密 ,就 相当 于 对 密 文 再 加 密 了 一 次 ,这 样 得 到 的 是 两 次 加 密 后 的 密 文 , 有 极 大 的 概率 仍 
然 会 是 一 段 杂 乱 无 章 的 字符 串 。 所 以 , 当 接 收 方 解 密 后 发 现 明文 是 有 意义 的 语句 ,即使 
他 不 知道 明文 到 底 是 什么 内 容 , 也 可 以 以 极 大 概率 相信 发 送 方 是 用 正确 的 密 钥 加 密 的 。 

利用 对 称 密码 体制 实现 消息 认证 有 如 下 几 个 特点 : 

(1) 能 提供 认证 : 可 确认 消息 只 可 能 来 自 A, 传 输 途 中 未 被 更 改 。 

(2) 提供 保密 性 : 因为 只 有 A 和 B 知道 密 钥 。 

(3) 不 能 提供 数字 签名 : 接收 方 可 以 伪造 消息 ,发 送 方 可 以 抵赖 消息 的 发 送 。 

提示 : 认证 双方 共享 一 个 秘密 就 可 以 相互 进行 认证 ,这 是 最 简单 也 是 最 常用 的 认证 
机 制 。 例 如 现实 生活 中 如 果 两 人 知道 某 个 共同 的 秘密 (并 且 只 有 他 们 知道 ) ,就 能 依靠 这 
个 秘密 进行 相互 认证 。 虽 然 该 机 制 的 原理 很 简单 ,但 实现 起 来 却 要 解决 诸多 问题 。 例 
如 ,如 何 让 认证 双方 能 够 共享 一 个 秘密 ,如 何 保证 该 秘密 在 传输 过 程 中 不 会 被 他 人 窃取 
或 利用 等 。 


512 公 钥 密码 体制 实现 认证 


1. 提供 消息 认证 


如 图 5. 2 所 示 ,发 送 方 A 用 自己 的 私 钥 SKA 对 消息 进行 加 密 运 算 , 再 通过 公开 信道 
传送 给 接收 方 B; 接 收 方 B 用 A 的 公 钥 PK 对 得 到 的 消息 进行 解密 运算 并 完成 鉴别 。 

因为 只 有 发 送 方 A 才能 产生 用 公 钥 PKA 可 解密 的 密 文 ,所 以 消息 一 定 来 自 拥有 私 
钥 SKA 的 发 送 方 A。 这 种 机 制 也 要 求 明文 具有 某 种 内 部 结构 使 接收 方 能 易于 确定 得 到 
的 明文 是 正确 的 。 


I | EC | 


发 送 方 A Sk pk 接收 方 B 


Dpks(Eska (MD)) 


图 5.2 用 公 钥 密码 体制 实现 消息 鉴别 


这 种 方法 的 特点 是 能 提供 认证 和 数字 签名 功能 ,但 不 能 提供 保密 性 ,因为 任何 人 都 
能 用 A 的 公 钥 解密 查看 消息 。 
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2. 提供 消息 认证 和 机 密 性 保护 


如 图 5. 3 所 示 , 发 送 方 A 用 自己 的 私 钥 SKA 进行 加 密 运 算 ( 数 字 签 名 ) 之 后 ,再 用 接 
收 方 B 的 公 钥 PKs 进行 加 密 , 从 而 实现 机 密 性 。 这 种 方法 能 提供 机 密 性 、 数 字 签 名 和 鉴 
别 。 其 缺点 是 : 一 次 完整 的 通信 需要 执行 公 钥 算法 的 加 密 、 解 密 操作 各 两 次 。 


OARERGS GO 加 

ESsk (M) ESsk (M) 

SKA SKA 

发 送 方 A Enka(Esxa (M) 接收 方 B 
SKA PK SKs PK 


A 


5.3 用 公 钥 密码 体制 实现 签名 ,加密 和 鉴别 


提示 : 通常 情况 下 ,都 是 先 对 消息 进行 签名 再 加 密 ,因为 被 签名 的 消息 应 该 能 够 理 
解 ,如 果 将 消息 加 密 之 后 再 签名 , 则 不 符合 常理 ,因为 一 般 不 会 对 一 个 看 不 懂 的 文件 去 签 
名 的 。 当 然 , 上 述 原 则 也 不 是 绝对 的 ,有 时 候 也 需要 先 加 密 再 传 给 别人 签名 , 即 所 谓 育 
签名 。 


513 基于 散 列 函 数 的 消息 认证 


散 列 函数 具有 以 下 特点 : 输入 是 可 变 长 度 的 消息 M, 输 出 是 固定 长 度 的 散 列 值 ( 即 
消息 摘要 ) ;计算 简单 ,不 需要 使 用 密 钥 ,具有 强 抗 碰 撞 性 。 散 列 值 只 是 输入 消息 的 函数 ， 
只 要 输入 消息 有 任何 改变 ,就 会 导致 不 同 的 散 列 值 输出 ,因此 散 列 函数 常常 用 于 实现 消 
息 认 证 。 

基于 散 列 函数 的 消息 认证 有 如 下 几 种 方案 实现 : 

(1) 用 对 称 密码 体制 加 密 消 息 及 其 散 列 值 , 即 A 一 B: Ei(M | COM)), 如 图 5.4 所 
示 。 由 于 只 有 发 送 方 A 和 接收 方 B 共享 密 钥 ,因此 通过 对 h(M) 的 比较 鉴别 可 以 确定 
消息 一 定 来 自 A, 并 且 未 被 修改 过 。 散 列 值 在 方案 中 提供 用 于 鉴别 的 元 余 信息 ,同时 
h(MD) 受 到 加 密 的 保护 ,这 样 ,该 方案 与 用 对 称 密 钥 直 接 加 密 消 息 相 比 , 不 需要 消息 具有 
一 定 的 格式 。 该 方案 可 提供 保密 性 和 认证 ,但 不 能 提供 数字 签名 。 


发 送 方 A 一 一 一 | 上- 一 一 一 接收 方 B 
M | | 
| MW 1 
4 ECMIMM) 人 比较 
f 


图 5.4 用 散 列 函数 实现 消息 认证 (方式 1) 


(2) 用 对 称 密码 体制 只 对 消息 的 散 列 值 进行 加 密 ,并 将 散 列 值 附 在 明文 后 , 即 A 一 B: 
M Ei,(h(M)), 如 图 5.5 所 示 。 这 种 方法 中 消息 以 明文 形式 传递 ,因此 不 能 提供 保密 
性 ,但 接收 方 可 以 计算 M 的 散 列 值 与 4(M) 比 较 , 如 果 相 同 就 可 以 确定 消息 一 定 来 自 A， 
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并 且 消 息 M 没有 被 臭 改 。 该 方法 适合 于 对 消息 提供 完整 性 保护 ,而 不 要 求 机 密 性 的 场 
合 , 有 助 于 减少 处 理 代价 。 


~ 一 一 发 送 方 A 一 一 | 一 一 一 一 接收 方 B 
M 0) M 
| | iw 


5.5 用 散 列 函 数 实现 消息 认证 (方式 2) 


(3) 用 公 钥 密码 体制 的 私 钥 对 散 列 值 进 行 加 密 运 算 , 即 A 一 B: M | Ex (CCM)) ,如 
图 5.6 所 示 , 这 种 方法 由 于 使 用 了 发 送 方 的 私 钥 对 h(M) 进 行 加 密 运 算 ( 实 现 数字 签名 )， 
因此 可 提供 消息 认证 和 数字 签名 。 


发 送 方 A 一 一 ”| 上 -一 一 一 接收 廊 B 一 一 "| 
A KRA (1 ) 一 | 人 
| | OO 一 KU | tt 
Ond Bo 


5.6 用 散 列 函 数 实现 消息 认证 (方式 3) 


(4) 公 钥 密码 体制 和 对 称 密码 体制 结合 ,这 种 方法 用 发 送 方 的 私 钥 对 散 列 值 进行 数 
字 签 名 ,然后 用 对 称 密 钥 加 密 消 息 M 和 签名 的 混合 体 , 即 A>B: EueCM | Er (CACM)))， 
如 图 5.7 所 示 。 因 此 这 种 方法 既 提 供认 证 和 数字 签名 ,又 提供 保密 性 ,在 实际 应 用 中 较 
为 常见 。 


~ 一 一 发 送 方 A 一 一 =| =- 接收 方 B 
0 .0 0 EE 
kRA(hA(M) Ko 比较 
k 


大 
[ (a) EMlExra (mM) On 


图 5.7 用 散 列 函 数 实现 消息 认证 (方式 4) 


(5) 使 用 散 列 函数 ,但 未 使 用 加 密 算 法 。 为 了 实现 鉴别 ,要 求 发 送 方 A 和 接收 方 B 
共享 一 个 秘密 信息 S ,发 送 方 生成 消息 M 和 秘密 信息 S 的 散 列 值 ,然后 与 消息 M 一 起 发 
送 给 对 方 , 即 A 一 B: MhCM | S), 如 图 5.8 所 示 。 接 收 方 B 按照 发 送 方 相同 的 处 理 方 
式 生 成 消息 M 和 秘密 信息 S 的 散 列 值 ,对 两 者 进行 比较 ,从 而 实现 鉴别 。 这 种 方法 的 特 
点 是 ,秘密 信息 S 并 不 参与 传递 ,因此 可 保证 攻击 者 无 法 伪造 。 该 方法 又 可 看 成 是 基于 
消息 认证 码 的 认证 ,因为 h(M | S) 可 看 作 是 M 的 MAC。 
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5.8 ”用 散 列 函 数 实现 消息 认证 (方式 5) 


(6) 在 方法 (5) 的 基础 上 ,使 用 对 称 密码 体制 对 消息 M 和 生成 的 散 列 值 进行 保护 , 即 
A 一 B: E,(M hn(M |S)), 如 图 5.9 所 示 。 这 样 除 了 提供 消息 认证 外 ,还 能 提供 机 密 性 
保护 。 


~ 一 一 发 送 方 A 一 一 ”| 接收 方 B | 


OO 


5.9 用 散 列 函数 实现 消息 认证 (方式 6) 


514 基于 消息 认证 码 的 消息 认证 


消息 认证 码 (MAC) 是 用 于 提供 数据 原 发 认证 和 数据 完整 性 保证 的 密码 校 验 值 。 
MAC 是 消息 被 一 个 密 钥 控制 的 公开 散 列 函数 作用 后 产生 的 、 用 作 认 证 符 的 固定 长 度 的 
数值 ,此 时 需要 通信 双方 A 和 B 共享 一 个 密 钥 &, 它 由 如 下 形式 的 函数 产生 : 

MAC = Hi,(M) 
其 中 ,M 是 一 个 变 长 的 消息 ,& 是 收发 双方 共享 的 密 钥 ,Hi(，) 是 密 钥 控制 下 的 公开 散 
列 函 数 。MAC 需要 使 用 密 钥 ,这 类 似 于 加 密 , 但 其 区 别 是 MAC 函数 是 不 可 逆 的 ,因为 
它 使 用 的 是 带 密 钥 的 散 列 函数 作为 Hi(，。) 来 实现 MAC。 另 外 ,由 于 收发 双方 使 用 的 是 
相同 的 密 钥 ,因此 单纯 使 用 MAC 是 无 法 提供 数字 签名 的 。 

对 称 加 密 和 公 钥 加 密 都 可 以 提供 认证 ,为 什么 还 要 使 用 单独 的 MAC 认证 呢 ? 

这 是 因为 机 密 性 和 真实 性 是 不 同 的 概念 ,从 根本 上 讲 , 信 息 加 密 提供 的 是 机 密 性 而 
非 真 实 性 ,而 且 加 密 运算 的 代价 很 大 , 公 钥 算法 的 代价 更 大 ;其 次 ,认证 函数 与 加 密 函 数 
的 分 离 有 利于 提供 功能 上 的 灵活 性 ,可 以 把 加 密 和 认证 功能 独立 地 实现 在 通信 的 不 同 传 
输 层 次 ;再 次 , 某 些 信 息 只 需要 真实 性 ,不 需要 机 密 性 。 比 如 ,广播 的 信息 ,信息 量 大 , 难 
以 实现 加 密 ;政府 的 公告 等 信息 只 需要 保证 真实 性 。 因 此 ,在 大 多 数 场合 MAC 更 适合 用 
来 专门 提供 认证 功能 。 

MAC 的 基本 用 法 有 3 种 : 设 A 欲 发 送 给 B 的 消息 是 M, A 首先 计算 MAC= 
Hi (M) ,然后 向 B 发 送 M' 一 M | MAC,B 收 到 后 做 与 A 相同 的 计算 , 求 得 一 新 MAC ,并 
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与 收 到 的 MAC 做 比较 ,如 图 5. 10 所 示 。 如 果 二 者 相等 ,由 于 只 有 A 和 B 知道 密 钥 &, 故 
可 以 判断 : 

(1) 接收 者 B 收 到 的 消息 M 未 被 算 改 过 。 

(2) 消息 M' 确 实 来 自发 送 者 A。 


发 送 方 A 一 “| | 接收 方 B 
(0) 
1 比较 
大 
E> L 


5.10 用 MAC 实现 消息 认证 


图 5. 10 中 的 方法 只 能 提供 消息 鉴别 ,不 能 提供 机 密 性 。 为 了 提供 机 密 性 ,可 以 在 生 
成 MAC 之 前 (图 5. 11) 或 之 后 (图 5.12) 使 用 加 密 机 制 , 则 可 以 获得 机 密 性 。 这 两 种 方法 
生成 的 MAC 或 者 基于 明文 ,或 者 基于 密 文 , 因 此 相应 的 鉴别 或 者 与 明文 有 关 ,或 者 与 密 
文 有 关 。 一 般 来 说 ,基于 明文 生成 MAC 的 方法 在 实际 应 用 中 会 更 方便 一 些 。 


发 送 方 A | 上 一 一 一 一 接收 方 B 


Op 0 
| | | Se 比较 


和 所 


I 


图 5.11 提供 消息 鉴别 与 机 密 性 (与 明文 相关 ) 


- 发 送 方 A -FF 一 "| 
1 
a 际 有 COM 中 五 M 
T hh TED) 
让 | | 
NP 


5.12 提供 消息 鉴别 与 机 密 性 (与 密 文 相 关 ) 


在 实际 中 ,对 于 电子 商务 安全 等 基于 Internet 的 应 用 来 说 ,一 般 采用 公 钥 密码 体制 
或 散 列 函数 进行 认证 。 而 对 于 物 联网 安全 或 移动 支付 等 方面 , 则 更 多 地 采用 对 称 密码 体 
制 结合 散 列 函 数 进行 认证 ,这 是 由 终端 的 计算 和 存储 能 力 及 网 络 带 宽 所 决定 的 。 


515 数字 签 密 
在 信息 安全 服务 中 ,为 了 能 够 同时 保证 消息 的 机 密 性 ,完整 性 、 真 实 性 和 不 可 否认 性 
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全 sxsean 


等 安全 要 素 ,传统 的 方法 是 对 消息 进行 先 签名 后 加 密 , 这 种 方法 的 计算 量 和 通信 成 本 是 
加 密 和 签名 的 代价 之 和 ,因此 效率 低下 。 为 此 ,近年 来 人 们 开始 研究 数字 签 密 (digital 
signcryption) 体 制 , 即 对 消息 同时 进行 签名 和 加 密 。 

数字 签 密 是 1997 年 在 美洲 密码 学 会 上 由 Y. Zheng 提出 的 , 它 把 传统 的 数字 签名 和 
公 钥 加 密 两 个 功能 合并 到 一 个 步骤 中 完成 。 数 字 签 密 具 有 以 下 优点 : 

(1) 签 密 在 计算 量 和 通信 成 本 上 都 要 低 于 传统 的 “ 先 签名 后 加 密 ? 方 法 。 例 如 ,Y. 
Zheng 提出 的 签 密 方案 比 基 于 离散 对 数 问题 的 “ 先 签名 后 加 密 ? 方 法 可 节省 58% 的 计算 
量 和 70% 的 通信 成 本 。 

(2) 签 密 允许 并 行 计 算 一 些 昂贵 的 密码 操作 。 

(3) 合理 设计 的 签 密 方案 较 传统 方案 可 以 取得 更 高 的 安全 水 平 。 

(4) 签 密 可 以 简化 同时 需要 保密 和 认证 的 密码 协议 的 设计 。 

根据 公 钥 认证 方法 的 不 同 , 数 字 签 密 体制 可 分 为 基于 PKI 的 签 密 体 制 . 基 于 身份 的 
签 密 体 制 和 无 证 书签 密 体 制 。 

一 个 基于 PKI 的 签 密 方案 一 般 由 3 个 算法 组 成 : 密 钥 生 成 (KeyGen)、 签 密 
(Signcrypt) 和解 签 密 (Unsigncrypt)。 这 些 算法 必须 满足 签 密 体制 的 一 致 性 约束 。 即 如 
果 密 文 o 二 Signcrypt(m,sk; ,pk,) ,那么 明文 m 二 Unsigncrypt(o ,pk ,sk:)。 


52 身份 认 和 于 


身份 认证 是 指证 实用 户 的 真实 身份 与 其 所 声称 的 身份 是 否 相符 的 过 程 。 身 份 认证 
是 任何 安全 通信 的 第 一 步 , 因 为 只 有 确信 对 方 是 谁 ,通信 才 有 意义 。 身 份 认 证 的 方式 之 
一 是 基于 秘密 。 通 常 ,被 认证 者 和 认证 者 之 间 共享 同一 个 秘密 (如 ATM 中 的 PIN) ,或 者 
被 认证 者 知道 一 个 值 ,而 认证 者 知道 从 这 个 值 推出 的 值 。 

正确 识别 用 户 .客户 机 或 服务 器 的 身份 是 信息 安全 的 重要 保障 之 一 。 典 型 的 例子 是 
银行 系统 的 自动 取款 机 ,用 户 可 以 从 取款 机 中 提取 现款 ,但 前 提 是 银行 首先 要 认证 用 户 
身份 ,否则 恶意 的 假冒 者 会 使 银行 或 用 户 遭 受 损 失 。 同 样 ,对 计算 机 系统 的 访问 也 必须 
进行 身份 认证 ,这 不 仅 是 计算 机 网 络 的 需要 ,也 是 社会 管理 的 需要 。 


521 身份 认证 的 依据 


身份 认证 的 依据 可 分 为 3 类 : 

(1) 用 户 所 知道 的 某 种 信息 (something the user knows) ,如 口令 或 某 个 秘密 。 

(2) 用 户 拥 有 的 某 种 物品 (something the user possesses) ,如 身份 证 、 银 行 卡 、 密 钥 
盘 、 令 牌 .IP 地 址 等 。 

(3) 用 户 具 有 的 某 种 特征 (something the user is or how he/she behaves) ,如 指纹 、 
虹膜 .DNA ,脸型 等 。 

这 3 类 认证 方式 各 有 利弊 。 第 一 类 方法 最 简单 ,系统 开销 最 小 ,但 是 安全 性 较 低 ,这 
种 方式 在 目前 很 多 对 安全 性 要 求 不 高 的 网 站 上 仍然 是 最 常用 的 。 第 二 类 泄露 秘密 的 可 
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能 性 较 小 ,安全 性 比 第 一 类 高 ,但 是 相对 复杂 。 第 三 类 的 安全 性 最 高 ,比如 想 假 冒 一 个 人 
的 指纹 就 相当 难 , 但 第 三 类 方法 需要 购买 较 昂贵 的 鉴别 设备 ,并 且 该 方法 只 能 对 人 进行 
认证 ,而 Internet 上 更 多 的 是 需要 对 主机 进行 认证 。 

有 时 候 也 可 以 把 几 类 认证 方式 综合 起 来 使 用 ,比如 用 户 从 银行 取款 机 取款 ,必须 拥 
有 银行 卡 , 还 必须 知道 银行 卡 的 口令 ,才能 通过 取款 机 的 身份 认证 ,这 种 使 用 两 种 依据 的 
认证 叫 作 双 因 素 (two-factor) 认 证 方式 。 

提示 : 在 5.1 节 中 介绍 的 很 多 消息 认证 的 方法 也 能 用 来 实现 身份 认证 ,因为 如 果 消 
息 中 包含 某 些 特殊 的 特征 ,就 能 判断 该 消息 一 定 是 由 某 人 发 出 的 ,因此 可 以 证 实 消息 发 
送 方 的 身份 。 但 这 些 方法 安全 性 不 高 ,因为 攻击 者 截获 消息 后 再 转发 给 接收 方 就 能 进行 
团 交 对 3 


522 身份 认证 系统 的 组 成 
身份 认证 系统 一 般 由 以 下 几 部 分 组 成 ,如 图 5. 13 所 示 。 


可 信 第 三 方 TP 


认证 信息 


声称 者 P 


验证 者 V 


图 5.13 身份 认证 系统 的 组 成 


(1) 出 示 证 件 的 人 , 称 为 示 证 者 P(Prover) ,又 称 声称 者 (Claimant)。 声 称 者 提交 一 
个 主体 的 身份 并 声称 他 是 那个 主体 。 

(2) 验证 者 V(Verifier) ,检验 声称 者 提出 的 身份 的 正确 性 和 合法 性 ,决定 是 否 满足 
其 要 求 。 

(3) 可 信 TP(Trusted Third Party, 可 信 第 三 方 ) ,参与 调解 纠纷 ,在 安全 相关 活动 
中 , 它 被 双方 实体 信任 。 当 然 ,有 些 简单 的 身份 认证 系统 也 可 不 需要 可 信 TP 这 一 方 。 

(4) 攻击 者 ,他 可 以 窃听 或 伪装 申请 者 骗取 验证 者 的 信任 。 


523 身份 认证 的 分 类 


身份 认证 可 分 为 单 向 认证 和 双向 认证 。 单 向 身份 认证 是 指 通信 双方 中 只 有 一 方向 
另 一 方 进 行 认证 ,而 双向 身份 认证 是 指 通信 双方 相互 进行 认证 。 

在 单 向 认证 中 ,一 个 实体 充当 申请 者 , 另 一 个 实体 充当 验证 者 ,例如 一 般 的 社区 网 
站 ,就 是 单 向 认证 ,只 有 网 站 能 验证 用 户 的 身份 ,而 用 户 无 法 验证 网 站 的 真 伪 。 

对 应 双向 认证 ,每 个 实体 同时 充当 申请 者 和 验证 者 ,互相 进行 验证 ,在 电子 商务 活动 
中 ,双向 认证 能 提供 更 高 的 安全 性 。 双 向 认证 可 以 在 两 个 方向 上 使 用 相同 或 不 同 的 认证 
机 制 。 

身份 认证 还 可 分 为 非 密码 的 认证 机 制 和 基于 密码 算法 的 认证 机 制 。 非 密码 的 认证 
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机 制 包括 口令 机 制 一 次 性 口令 机 制 、 挑 战 -应 答 机 制 . 基 于 生物 特征 的 机 制 等 ;基于 密码 
算法 的 认证 机 制 主 要 是 双方 共享 一 个 验证 密 钥 等 方式 ,与 消息 认证 采用 的 方法 类 似 。 


53 口令 机 制 


口令 是 目前 使 用 最 广泛 的 身份 认证 机 制 。 从 形式 上 看 ,口令 是 字母 .数字 或 特殊 字 
符 构 成 的 字符 串 , 只 有 被 认证 者 知道 。 

提示 : 在 日 常生 活 中 ,人 们 所 说 的 银行 卡 密码 、 邮 箱 登 录 密 码 、 保 险 柜 密 码 等 ,准确 地 
说 应 该 叫 口 令 , 因 为 密码 ( 密 钥 ) 是 用 来 加 密 信息 的 ,而 口令 是 用 来 作为 菜 种 鉴别 的 秘密 。 


531 口令 的 基本 工作 原理 


最 简单 的 口令 工作 原理 是 ,用 户 通过 注册 ,自己 选择 一 个 用 户 名 和 口令 ,或 者 系统 为 
每 个 用 户 指定 一 个 用 户 名 和 初始 口令 ,用 户 可 以 定期 改变 口令 ,以 保证 安全 性 。 口令 以 
明文 形式 和 用 户 名 一 起 存放 在 服务 器 的 用 户 数 据 库 中 。 这 种 口令 鉴别 机 制 的 工作 过 程 
如 下 : 

第 一 步 : 系统 提示 用 户 输 入 用 户 名 和 口令 。 

认证 时 ,应 用 程序 向 用 户 发 送 一 个 登录 窗口 ,提示 用 户 输入 用 户 名 和 口令 ,如 图 5. 14 
所 示 。 


5.14 提示 用 户 输入 用 户 名 和 口令 


第 二 步 : 用 户 输入 用 户 名 和 口令 ,并 单 击 “ 确 定 ” 之 类 的 按钮 ,使 用 户 名 和 口令 以 明文 
形式 传递 到 服务 器 上 ,如 图 5. 15 所 示 。 


登录 请 求 > 由 


ID=admin 
Password=tang4 


5.15 提示 用 户 输入 用 户 名 和 口令 


第 三 步 : 服务 器 验证 用 户 名 和 口令 。 

服务 器 中 存储 了 用 户 数 据 库 ,通过 该 数据 库 检 查 这 个 用 户 名 和 口令 是 否 存在 并 且 匹 
配 ,如 图 5. 16 所 示 。 通 常 ,这 是 由 用 户 鉴别 程序 完成 的 ,该 程序 首先 获取 用 户 名 和 口令 ， 
在 用 户 数 据 库 中 检查 ,然后 返回 鉴别 结果 (成 功 或 失败 ) 给 服务 器 。 
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Password 
tade df324 
rest hr45 
admin tang4 


用 户 鉴别 程序 >ID 
ID=admin 
Password=tang4 


5.16 用 户 鉴 别 程序 通过 用 户 数据 库 检查 用 户 名 和 口令 的 组 合 


第 四 步 : 服务 器 通知 用 户 。 

根据 检查 结果 是 否 成 功 ,服务 器 向 用 户 返 回 相 应 屏幕 。 例 如 ,如 果 用 户 鉴 别 成 功 , 则 
服务 器 发 给 用 户 一 个 选项 菜单 , 列 出 用 户 可 以 进行 的 操作 ,如 果 用 户 鉴 别 不 成 功 ,服务 器 
向 用 户 发 送 一 个 错误 屏幕 ,这 里 假设 用 户 鉴 别 成 功 ,如 图 5. 17 所 示 。 


委 登录 成 功 


欢迎 admin， 您 可 以 
1. 查看 账户 


5.17 服务 器 向 用 户 返 回 鉴别 结果 


532 对 口令 机 制 的 改进 


5. 3.1 节 的 口令 方案 可 抽象 成 一 个 身份 认证 模型 ,如 图 5. 18 所 示 。 该 口令 认证 模型 
包括 声称 者 和 验证 者 ,图 5.15 中 的 客户 机 是 声称 者 ,而 保存 有 用 户 数据 库 的 服务 器 是 验 
证 者 。 


口令 


I 
| 
| 
| 
| 
| 
| 
| 
| 


图 5.18 基本 的 口令 认证 机 制 


但 是 图 5.18 中 的 口令 机 制 是 很 脆弱 的 ,最 严重 的 脆弱 点 是 口令 可 能 唱 受 到 线路 窍 
听 \ 和 危及 验证 者 的 攻击 和 重 放 攻击 等 。 


1. 对 付 线路 窃听 的 措施 


如 果 攻 击 者 对 传输 口令 的 通信 线路 进行 窃听 ,就 可 能 获得 用 户 ID 和 口令 的 明文 , 冒 
充 合法 用 户 进行 登录 。 在 目前 的 广播 式 网 络 中 ,通过 抓 包 软件 截获 用 户 传输 的 认证 信息 
数据 包 来 获取 用 户 的 口令 是 很 容易 的 。 
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为 了 对 付 这 种 攻击 ,必须 在 客户 端 对 口令 进行 加 密 , 可 以 使 用 单 向 散 列 函数 在 客户 
端 对 口令 进行 加 密 ,而 服务 器 端 也 只 保存 口令 的 散 列 值 , 如 图 5. 19 所 示 。 设 f 为 单 向 散 
列 函 数 ,用 户 的 标识 是 ID ,他 的 正确 口令 是 如 ,用户 在 客户 端 输入 用 户 ID 和 口令 p, 客 户 
端 程序 计算 p' 二 了 (p) ,而 在 验证 系统 中 保存 的 是 用 户 的 标识 ID 和 口令 的 单 向 散 列 函数 
值 p' 二 f(p) ,验证 者 比较 标识 为 ID 的 用 户 发 过 来 的 p' 和 验证 者 保存 的 p ,如 果 两 者 一 
致 , 则 认为 输入 口令 正确 。 整 个 过 程 如 图 5. 20 所 示 。 


: 口 文件 四 ”编辑 中 视图 WD 插入 I) 格式 @) 记录 @) 工具 人 ) 
口 轨 帮助 0D -Sx 


-| 加 这 | 电 以 和 梦 |%4 则 区 | 9 名 | 外 入 | 梁 有 和 了 


21232f297a57a5a743894aDe4a301fc3 
21232f297a57a5a7438694aDe4a301fc3 


5.20 ”对 付 线路 窃听 的 口令 认证 机 制 


这 样 即使 攻击 者 窃听 通信 线路 获得 p ,但 因为 函数 f 的 单 向 性 ,他 也 难以 推导 出 相 
应 的 口令 p。 

提示 : 从 图 5.19 可 以 看 出 ,服务 器 根本 没有 必要 知道 用 户 的 口令 , 它 只 要 能 区 分 有 
效 口令 和 无 效 口令 就 可 以 了 ,因此 可 以 利用 单 向 散 列 函数 来 解决 口令 在 系统 中 存放 的 安 
全 性 问题 。 

该 方案 存在 的 缺陷 是 : 由 于 散 列 函数 的 算法 是 公开 的 ,攻击 者 可 以 设计 一 张 p 和 pp” 
的 对 应 表 ( 称 为 口令 字典 ) ,其 中 p 是 攻击 者 猜测 的 所 有 可 能 的 口令 (可 能 有 上 千 万 个 口 
令 ) ,然后 计算 每 个 p 的 散 列 值 p 。 接 下 来 ,攻击 者 通过 截获 鉴别 信息 p' ,在 口令 字典 中 
查找 p' 对 应 的 口令 p ,就 能 以 很 高 的 概率 获得 声称 者 的 口令 ,这 种 方式 称 为 字典 攻击 。 

对 付 这 种 攻击 的 方法 可 以 采用 加 盐 机 制 , 即 验证 端 在 保存 的 用 户口 令 表 中 增加 一 个 
字段 ,该 字段 中 保存 的 是 一 个 随机 数 ( 称 为 盐 或 Salt) ,这 样 口令 表 的 结构 变 为 User 
(UserID,pwd,Salt) ,其 中 pwd 字段 保存 的 值 是 p' = 二 h(p,Salt) . 即 对 口令 和 Salt 的 连接 
串 求 散 列 值 。 

对 加 盐 机 制 的 一 种 简化 方案 是 : 将 单 向 散 列 函数 对 ID 和 口令 p 的 连接 串 求 散 列 值 
(也 就 是 将 用 户 ID 当成 盐 用 ), 即 六 = 六 2p,id) ,该 方案 如 图 5. 21 所 示 。 这 样 攻击 者 截获 
鉴别 信息 p 后 ,必须 针对 每 个 ID 单独 设计 一 张 (p,id) 和 pp 的 对 应 表 , 大 大 增加 了 攻击 的 
难度 。 
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声称 者 验证 者 
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ID | D | p | | 
| | | 
| 
| I | 
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图 5.21 对 付 线路 窃听 和 字典 攻击 的 口令 认证 机 制 


2. 对 付 危 及 验证 者 的 措施 


对 口令 系统 的 另 一 个 潜在 威胁 是 ,通过 内 部 攻击 危及 验证 者 的 口令 文件 或 数据 库 ， 
如 不 怀 好 意 的 系统 管理 员 可 能 会 窃取 用 户 数据 库 中 的 口令 从 事 非 法 操作 。 这 种 攻击 会 
危及 系统 中 所 有 用 户 的 口令 。 

为 了 对 付 这 种 攻击 ,首先 应 保证 用 户 ID 和 口令 不 能 以 明文 形式 存放 在 验证 端 数据 
库 中 。 前 面 介绍 的 对 付 线路 窃听 的 措施 为 对 抗 这 种 攻击 提供 了 好 处 ,因为 存储 在 验证 端 
的 口令 是 口令 的 散 列 值 ,没有 暴露 口令 ,这 样 即 使 是 系统 管理 员 也 不 知道 用 户 的 口令 。 
然而 ,如 果 攻 击 者 能 从 验证 端 获取 ID 和 p' ,那么 他 可 以 在 线路 上 向 验证 者 发 送 一 个 包含 
ID 和 之 的 信息 ,验证 者 看 到 ID 和 p' 就 会 认为 是 合法 用 户 。 为 了 对 付 这 种 脆弱 性 ,可 将 
单 向 散 列 函数 应 用 于 验证 系统 而 不 是 声称 系统 ,如 图 5. 22 所 示 。 


SS 


5.22 对付 危及 验证 者 攻击 的 口令 认证 机 制 


为 了 使 口令 认证 系统 能 同时 对 抗 线路 攻击 和 和 危及 验证 者 的 攻击 ,可 以 将 图 5. 21 中 
的 方案 和 图 5. 22 中 的 方案 进行 组 合 。 如 图 5. 23 所 示 。 此 时 ,验证 者 中 存储 g==h(p'， 
ID) ,其 中 p= 二 =f(p,ID), 单 向 散 列 函数 和 hh 可 以 相同 ,也 可 以 不 同 。 


5.23 对付 窃 听 及 危及 验证 者 攻击 的 口令 认证 机 制 
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533 对 付 重 放 攻 击 的 措施 
把 口令 加 密 传输 可 以 让 攻击 者 无 法 知道 真实 的 口令 ,可 是 ,这 对 聪明 的 攻击 者 并 不 
造成 麻烦 。 他 只 需 把 窃听 的 认证 信息 (含有 用 户 ID 和 口令 的 散 列 值 p') 记 录 下 来 ,再 用 
其 他 的 软件 把 认证 信息 原封 不 动 地 重 放 给 验证 者 进行 认证 ,而 验证 者 看 到 正确 的 口令 散 
列 值 就 会 认为 是 合法 的 用 户 ,这 样 攻击 者 就 可 以 冒名 顶替 受害 者 ,从 验证 者 处 获取 服务 
了 。 这 种 形式 的 攻击 称 为 重 放 攻 击 (replay attacks) ,其 原理 如 图 5. 24 所 示 。 
声称 者 验证 者 


[ml 6 | 已 加 窗 的 认证 信息 


第 一 步 : 窃听 
Er 


Cai 


攻击 者 


图 5.24 重 放 攻 击 的 示意 图 


重 放 攻 击 是 消息 注入 的 一 种 特殊 形式 ,其 特点 是 在 不 破坏 消息 帧 完整 性 的 基础 上 实 
施 的 一 种 非 实时 攻击 。 攻 击 者 首先 通过 消息 窃听 或 会 话 劫持 捕获 消息 帧 ,此 后 重 放 该 消 
息 帧 ,或 者 使 用 多 个 会 话 消息 帧 合成 一 个 重 放 会 话 消息 帧 。 设 想 一 下 ,如 果 系 统 不 能 防 
范 重 放 攻 击 , 则 攻击 者 可 以 截获 一 个 用 户 要 求 银行 转账 的 请 求 ( 虽 然 该 请 求 已 加 密 ), 然 
后 不 断 重 放 该 转账 请 求 给 银行 ,如 果 银 行 分 辨 不 出 这 是 重 放 的 消息 , 岂 不 是 要 多 转账 很 
多 次 ? 


1. 重 放 攻击 举例 


例如 ,如 果 一 个 合法 用 户 可 以 通过 说 出 口令 “芝麻 开门 ”打开 一 道 石门 ,而 穷 听 者 在 
石门 盘 边 窃听 合法 用 户 的 开门 口令 ,然后 自己 说 出 该 口令 打开 石门 ,这 就 是 窃听 攻击 。 

设想 如 果 合 法 用 户 不 是 直接 对 着 石门 说 出 口令 ,而 是 对 着 一 种 喇叭 ( 散 列 算法 ) 说 口 
令 , 这 种 喇叭 可 以 把 开门 的 口令 (明文 ) 变 成 一 段 无 法 听 懂 的 咒语 ( 密 文 ) ,石门 具有 听 到 
这 段 咒 语 才 会 打开 。 此 时 攻击 者 在 石门 盘 只 能 听 到 咒语 而 听 不 到 口令 。 即 使 攻击 者 也 
有 这 种 变声 喇叭 ,但 他 不 知道 口令 还 是 打 不 开 石门 ,然而 攻击 者 是 没有 必要 知道 口令 的 ， 
他 只 需 在 石门 旁 用 录音 机 把 这 段 吕 语录 下 来 ,然后 等 合法 用 户 走 后 用 录音 机 将 录制 的 吕 
语 重 放 出 去 就 能 打开 石门 了 ,这 就 是 重 放 攻 击 。 

又 如 ,用 户 只 能 通过 某 电信 公司 提供 的 “新 空 极速 * 上 网 软件 登录 宽带 网 ,而 不 能 使 
用 Windows 自 带 的 拨号 软件 登录 。 这 是 因为 “新 空 极速 ”把 用 户 的 账号 和 密码 在 客户 端 
进行 了 加 密 , 再 发 送 给 服务 器 端 认 证 ;而 Windows 拨号 软件 则 是 直接 发 送 用户 账 号 和 密 
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码 。 要 破解 “新 空 极 速 ”", 可 以 先 在 该 软件 中 输入 账号 和 密码 ,如 图 5. 25 所 示 。 然 后 用 
Sniffer 等 抓 包 软件 窃听 该 软件 发 送 给 服务 器 认证 的 数据 包 , 从 数据 包 中 分 析出 加 密 后 的 
用 户 名 和 密码 ,用 Windows 自 带 的 拨号 软件 将 加 密 的 数据 重 放 给 验证 者 ,从 而 通过 
验证 。 

通过 对 截获 的 数据 包 进 行 分 析 ,“ 新 空 极速 "仅仅 对 用 户 账号 作 了 简单 变换 ,在 用 户 
账号 前 加 了 个 @, 而 对 用 户 密码 进行 了 复杂 的 加 密 变 换 , 如 将 密码 734 加 密 成 了 字符 串 
E591D7AB9AA4B188。 为 此 ,可 以 使 用 Windows 自 带 的 拨号 软件 ,在 用 户 名 和 密码 输入 
框 中 输入 加 密 变换 后 的 用 户 名 和 口令 ,如 图 5. 26 所 示 , 发 送 给 认证 服务 器 。 这 样 认 证 服 
务 器 也 会 收 到 相同 的 加 密 过 的 用 户 名 和 口令 ,从 而 登录 成 功 。 这 是 利用 重 放 攻击 的 方法 
破解 了 “新 空 极速 ”。 


连接 中 华电 信 21x| 


宽 窑 带 拨号 互联 星空 “VPN 技 号 


类 型 ; | 宽带 帐号 


密码 : eey 


器 保存 密码 


[ED |] ww | Rw | Ww | 


图 5.25 在 “新 空 极速 " 中 输入 账号 和 密码 图 5.26 发 送 加 密 后 的 账号 和 密码 通过 认证 


从 这 里 可 以 看 出 ,实施 重 放 攻击 分 为 两 个 步骤 : 
(1) 在 线路 上 窃听 得 到 加 密 后 的 认证 信息 。 
(2) 利用 其 他 软件 将 认证 信息 不 做 任何 修改 重 放 给 验证 端 。 


2. 一 种 对 付 重 放 攻 击 的 方案 


重 放 攻 击 是 认证 协议 中 最 难 对 付 的 一 种 攻击 形式 。 为 了 对 付 重 放 攻 击 ,必须 使 每 次 
发 往 验证 者 的 认证 信息 都 不 相同 ,这 样 验 证 者 就 能 识别 出 每 个 认证 信息 是 否 是 重 放 的 。 

一 种 对 付 重 放 攻 击 的 方案 是 : 声称 者 每 次 随机 产生 一 个 不 重复 的 随机 数 ,将 其 加 
人 到 认证 信息 (包含 用 户 ID 和 口令 散 列 值 ) 中 ,验证 者 收 到 后 ,除了 检测 口令 散 列 值 是 否 
匹配 外 ,还 将 检查 随机 值 n 是 否 以 前 被 使 用 过 ,如 果 验 证 者 确信 已 被 使 用 过 , 则 认证 请 
求 将 被 认为 是 重 放 而 被 拒绝 。 该 方案 如 图 5. 27 所 示 。 

说 明 : 上 述 方案 首先 将 用 户 ID 和 口令 p 用 单 向 函数 了 求 散 列 值得 到 pp', 然 后 青 将 
p" 和 随机 数 n 用 单 向 函数 g 求 散 列 值得 到 9 ,将 {ID,g .发 给 验证 端 。 而 验证 端 保存 的 
仍然 是 ID 和 口令 尹 用 函数 广 求 得 的 散 列 值 g( 如 果 用 户口 令 输入 正确 , 则 记 一 go) ,将 g 和 
n 用 函数 g 求 散 列 值 ,如 果 结 果 等 于 g ,并 且 经 过 检查 n 没有 被 使 用 过 , 则 认证 通过 。 

如 果 攻 击 者 截获 认证 信息 {ID,g ,n} 后 ,将 改 为 男 外 一 个 值 a ,再 将 认证 信息 {ID， 
gn ) 发 送 给 验证 端 ,他 也 不 会 认证 成 功 ,因为 gq 是 由 n 和 p' 散 列 得 到 的 ,验证 端 如 果 用 
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5.27 一 种 对 付 重 放 攻 击 的 口令 认证 方案 


n 和 9g 去 求 散 列 值 ,得 到 的 结果 肯定 和 g 不 同 ,可 见 n 可 以 用 明文 形式 传输 。 

实际 上 ,对 付 重 放 攻 击 中 的 随机 数 可 以 用 下 列 方法 之 一 产生 : 

(1) 加 随机 数 。 该 方法 的 优点 是 认证 双方 不 需要 时 间 同 步 ,双方 记 住 使 用 过 的 随机 
数 , 如 发 现 报 文中 有 以 前 使 用 过 的 随机 数 , 就 认为 是 重 放 攻击 。 缺 点 是 需要 额外 保存 使 
用 过 的 随机 数 , 若 记录 的 时 间 段 较 长 , 则 保存 和 查询 的 开销 较 大 。 

(2) 加 时 间 苓 。 该 方法 的 优点 是 不 用 额外 保存 其 他 信息 。 缺 点 是 认证 双方 需要 准确 
的 时 间 同 步 ,同步 越 好 , 受 攻击 的 可 能 性 就 越 小 。 但 当 系 统 很 庞大 ,跨越 的 区 域 较 广 时 ， 
要 做 到 精确 的 时 间 同 步 并 不 是 很 容易 。 

(3) 加 流水 号 。 就 是 双方 在 报 文中 添加 一 个 逐步 递增 的 整数 ,只 要 接收 到 一 个 不 连 
续 的 流水 号 报 文 ( 太 大 或 太 小 ), 就 认定 有 重 放 威胁 。 该 方法 的 优点 是 不 需要 时 间 同 步 ， 
保存 的 信息 量 比 随机 数 方式 小 。 缺 点 是 一 旦 攻击 者 对 报 文 解密 成 功 ,就 可 以 获得 流水 
号 ,从 而 每 次 将 流水 号 递增 以 欺骗 认证 端 。 

在 实际 中 , 常 将 方法 (1) 和 (2) 组 合 使 用 ,这 样 就 只 需 保存 某 个 很 短 时 间 段 内 的 所 有 
随机 数 , 而 且 时 间 鹤 的 同步 也 不 需要 太 精 确 。 

对 付 重 放 攻 击 除了 使 用 本 节 介 绍 的 方法 外 ,还 可 以 使 用 挑战 -应 答 机 制 和 一 次 性 口令 
机 制 , 而 且 似乎 后 面 两 种 方法 在 实际 中 使 用 得 更 广泛 。 


3. 重 放 攻 击 的 类 型 


实际 上 ,根据 重 放 消 息 的 接收 方 与 消息 的 原 定 接收 方 的 关系 , 重 放 攻击 可 分 为 3 种 : 
第 一 种 是 直接 重 放 , 即 重 放 给 原来 的 验证 端 ,直接 重 放 的 发 送 方 和 接收 方 均 不 变 ,前面 讨 
论 的 重 放 攻 击 就 属于 这 一 种 ;第 二 种 是 反 向 重 放 ,将 原本 发 给 接收 方 的 消息 反 向 重 放 给 
发 送 方 ;第 三 种 是 第 三 方 重 放 , 将 消息 重 放 给 域内 的 其 他 验证 端 。 

1) 直接 重 放 

直接 重 放 的 避免 方法 是 确保 消息 的 新 鲜 性 ,通过 加 时 间 蕉 和 加 随机 数 来 实现 。 

2) 反 向 重 放 

反 向 重 放 (图 5. 28) 是 由 于 消息 格式 相同 导致 的 。 如 果 协 议 中 两 条 消息 的 格式 完全 
相同 ,特别 是 在 协议 中 总 共 只 有 两 条 消息 的 情况 下 ,就 容易 发 生 反 向 重 放 , 因 为 消息 格式 
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完全 相同 ,攻击 者 可 以 将 消息 反 向 重 放 给 发 送 者 ,使 发 送 者 以 为 是 新 一 轮 会 话 的 开始 , 混 
淆 了 主体 在 协议 中 的 通信 角色。 防止 反 向 重 放 的 方法 是 ,确保 两 条 消息 的 格式 不 相同 ， 
例如 ,将 应 答 消息 中 的 数据 做 一 些 数 学 变换 后 再 发 送 给 对 方 。 在 4.2.1 节 的 Needham- 
Schroeder 协议 (图 4. 2) 中 ,第 @@ 条 消息 将 第 由 条 消息 中 收 到 的 随机 数 作 一 个 了 上 变换 再 发 
送 给 B 就 是 为 了 防止 攻击 者 反 向 重 放 第 中 条 消息 。 


声称 者 


验证 者 
已 加 密 的 认证 信息 一 | 59utdB 


攻击 者 
5.28 反 向 重 放 攻击 的 示意 图 


3) 第 三 方 重 放 
第 三 方 重 放 即 重 放 给 第 三 方 (图 5. 29)。 这 通常 是 因为 缺乏 主体 标识 引起 的 ,例如 ， 
假设 用 户 在 两 台 服 务 器 上 设置 的 登录 ID 和 口令 是 相同 的 ,用 户 将 申请 信息 ID eh(ID， 
pn) en 发 送 给 服务 器 ACID 是 用 户 ID, 是 用 户口 令 ,n 是 一 个 随机 数 ,h() 是 一 个 单 向 
散 列 函数 ) ,攻击 者 截获 该 申请 信息 后 , 重 放 给 服务 器 A 肯定 是 无 法 登录 成 功 的 ,但 攻击 
者 可 以 将 该 申请 信息 重 放 给 服务 器 B, 由 于 随机 数 n 没有 在 服务 器 B 上 记录 ,因此 ,服务 


器 B 会 认为 用 户 登录 成 功 。 防 止 第 三 方 重 放 的 方法 是 : 在 认证 消息 中 添加 主体 的 身 
份 ID。 


声称 者 验证 者 1 
一 已 加 密 的 认证 信息 FF 
第 一 


验证 者 2 
i 
| 站 


5.29 重 放 给 第 三 方 的 示意 图 


为 此 ,可 采用 加 服务 器 端 ID 的 方法 ,用 户 的 申请 信息 改 为 ID ‖ AID,IDA,zp,z) | >， 
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这 样 服务 器 B 收 到 认证 信息 后 .就 能 察觉 该 消息 原本 是 发 送 给 服务 器 A 的 。 
安全 协议 设计 的 一 条 原则 是 : 如 果 主 体 的 身份 对 消息 的 意义 有 举足轻重 的 作用 , 消 
息 中 必须 明确 包含 对 应 的 主体 名 称 。 因 此 ,加 主体 的 ID 能 避免 这 种 攻击 。 


4. 对 口令 攻击 机 制 的 分 析 


对 于 一 个 口令 系统 来 说 ,本 质 上 是 利用 申请 信息 和 验证 信息 的 匹配 来 进行 身份 认证 
的 ,如 图 5. 30 所 示 。 因 此 关键 是 让 合法 用 户 的 申请 信息 能 够 和 验证 信息 匹配 ,而 使 攻击 
者 提交 的 申请 信息 和 验证 信息 无 法 匹配 。 攻 击 者 一 般 通 过 从 通信 线路 或 服务 器 端 窃 取 
申请 信息 ,还 可 以 重 放 通 信 线 路 上 的 申请 信息 ,前面 几 种 对 抗 口令 攻击 的 措施 是 使 客户 
端的 、 线 路 上 传输 的 和 服务 器 端的 申请 信息 均 不 相同 ,而 且 线路 上 每 次 传输 的 申请 信息 
也 都 不 相同 ,这样 使 只 有 知道 原始 口令 的 合法 用 户 才能 登录 成 功 ,而 攻击 者 通过 窃取 图 
5. 30 中 加 .四 处 的 非 原始 口令 信息 是 无 法 和 四 处 的 口令 通过 正常 变换 途径 得 到 的 最 终 口 
令 密 文 匹 配 的 。 


申请 信息 


5.30 口令 认证 机 制 的 匹配 过 程 


需要 说 明 的 是 ,对 于 在 客户 端 加 密 口 令 , 如 果 是 客户 机 /服务 器 应 用 程序 ,可 以 将 口 
令 加 密 的 程序 模块 设计 到 客户 端 程序 中 ,口令 在 客户 端 加 密 是 容易 实现 的 。 但 如 果 是 浏 
览 器 /服务 器 应 用 程序 ,客户 端 是 Web 浏览 器 ,浏览 器 没有 任何 特殊 编程 功能 ,如 果 采 用 
浏览 器 的 脚本 语言 (如 JavaScript) 编 程 实现 口令 加 密 , 那 么 加 密 的 程序 可 以 在 浏览 器 中 
通过 查看 源 代码 查看 到 ,这 是 不 合适 的 。 因 此 对 于 在 浏览 器 端 加 密 口令 ,一 般 必须 在 浏 
览 器 上 安装 相应 的 ActiveX 插件 ,利用 插件 中 的 加 密 程序 进行 客户 端的 口令 加 密 。 很 多 
电子 支付 网 站 (如 支付 宝 ) 采 用 的 就 是 这 种 方式 ,必须 安装 插件 才能 输入 登录 密码 。 另 外 
一 种 方式 是 使 用 安全 套 接 层 (SSL) 之 类 的 技术 ,这 样 浏览 器 与 服务 器 之 间 传 输 的 所 有 数 
据 都 是 加 密 的 形式 ,因此 口令 不 需要 任何 应 用 层 保 护 机 制 ,SSL 会 进行 必要 的 加 密 操作 。 


534 基于 挑战 -应 答 的 口令 机 制 


挑战 -应 答 机 制 (challenge-response) 的 设计 思想 来 源 于 军事 系统 ,哨兵 随机 提问 可 能 
的 人 侵 者 ,根据 对 方 的 应 答 ( 是 否 知道 接头 暗号 ) 来 判断 是 否 是 自己 人 。 

在 挑战 -应 答 协 议 的 认证 系统 中 ,验证 者 提出 “问题 "(通常 是 随机 生成 的 随机 数 ) ,由 
申请 者 应 答 ,然后 由 验证 者 验证 其 正确 性 。 这 种 方案 使 验证 者 与 申请 者 之 间 每 次 交换 的 
认证 信息 都 不 同 ,使 重 放 攻 击 无 法 成 功 ,该 方案 的 过 程 如 图 5. 31 所 示 ,基本 步 又 如 下 : 

第 一 步 : 用 户 发 送 登 录 请 求 , 与 口令 登录 的 过 程 不 同 ,用 户 发 送 的 登录 请 求 只 有 用 户 
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Ey 认证 请 求 (用 户 名 、IP 地 址 ) 国 


挑战 (随机 数 R) 
用 庶 外 | 服务 器 


应 答 (Exm(R) 


认证 结果 


5.31 挑战 -应 答 机 制 的 认证 步骤 


名 (或 者 还 有 IP 地 址 ) ,而 没有 口令 或 其 消息 摘要 。 

第 二 步 : 服务 器 生成 随机 挑战 ,服务 器 收 到 只 有 用 户 名 的 登录 请 求 后 ,首先 检查 用 
户 名 是 否 有 效 , 如 果 有 效 , 则 服务 器 生成 一 个 随机 数 , 将 其 发 送 给 用 户 。 随 机 数 ( 随 机 
挑战 ?可 以 以 明文 的 形式 传递 到 用 户 计算 机 ;如 果 用 户 名 无 效 , 则 向 用 户 返回 相应 的 错 
误 信息 。 

第 三 步 : 用 户 用 其 口令 的 散 列 值 五 CP) 加 密 随 机 挑战 。 具 体 是 : 服务 器 向 用 户 发 
出 要 求 输入 口令 的 界面 ,用 户 在 界面 上 输入 口令 ,客户 端 应 用 程序 计算 该 口令 的 散 列 
值 ,并 用 这 个 口令 的 散 列 值 加 密 上 一 步 收 到 的 随机 数 。 当 然 , 这 里 使 用 的 是 对 称 密 钥 
加 密 。 

第 四 步 : 服务 器 验证 从 用 户 收 到 的 加 密 随 机 挑战 。 

由 于 服务 器 中 保存 有 用 户口 令 的 散 列 值 ,服务 器 要 验证 从 用 户 收 到 的 加 密 随 机 挑 
战 ,可 以 有 两 种 方法 : 

@ 服务 器 用 用 户口 令 的 散 列 值 解密 从 用 户 收 到 的 加 密 随 机 挑战 (随机 数 ) ,如 果 解 密 
后 的 随机 数 与 服务 器 上 原先 的 随机 数 匹 配 , 则 服务 器 可 以 肯定 随机 数 是 用 用 户口 令 散 列 
值 加 密 的 。 

@ 服务 器 也 可 以 用 用 户口 令 的 散 列 值 加 密 自 己 的 随机 数 ( 即 前 面 发 给 用 户 的 版 本 )， 
如 果 这 个 加 密 得 到 的 加 密 随 机 数 与 从 用 户 收 到 的 加 密 随 机 数 相 同 , 则 同样 表明 用 户 能 通 

可 见 在 第 三 步 ,之 所 以 用 口令 散 列 值 加 密 随 机 数 , 而 不 是 用 口令 加 密 随机 数 ,是 为 了 
让 服务 器 可 以 只 保存 口令 的 散 列 值 。 

第 五 步 : 服务 器 向 用 户 返 回 相 应 的 信息 ,通知 用 户 是 否 登录 成 功 。 

提示 : 在 实际 应 用 中 ,挑战 -应 答 机 制 也 可 以 省 略 第 一 步 , 即 先 由 服务 器 发 送 一 个 随 
机 数 给 客户 端 , 客 户 端 用 口令 的 散 列 值 加 密 它 后 ,连同 用 户 的 ID 一 起 发 送 给 服务 器 , 服 
务 器 根据 该 ID 找到 用 户口 令 的 散 列 值 ,再 对 应 答 Errm (RR) 进行 验证 。 

传统 的 口令 机 制 由 于 申请 者 每 次 都 要 提交 口令 .因此 存在 口令 被 窃取 、 被 重 放 等 诸 
多 难题 。 而 采用 挑战 -应 答 机 制 后 ,申请 者 不 需要 向 验证 者 出 示 口 令 , 避 免 了 口令 传输 被 
窃取 的 问题 ,而 且 申 请 者 每 次 发 送 的 应 答 都 与 随机 挑战 值 有 关 , 避 免 了 重 放 攻 击 。 但 挑 
战 -应 答 机 制 的 缺点 是 增加 了 申请 者 和 验证 者 之 间 的 通信 次 数 ( 需 要 验证 方 先 发 一 个 挑战 
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消息 过 来 ) 。 

挑战 -应 答 机 制 与 图 5. 27 中 对 抗 重 放 攻击 的 机 制 相 比 ,最 明显 的 区 别 是 图 5. 27 中 的 
随机 数 由 客户 端 产 生 ,而 挑战 -应 答 机 制 中 的 随机 数 ”由 验证 端 产生 ,如 图 5. 32 所 示 ,这 
样 产 生 随机 数 的 能 力 完全 掌握 在 验证 者 手中 , 比 在 客户 端 产 生 随机 数 更 加 安全 可 靠 。 也 
不 存在 图 5. 27 中 为 了 两 端 都 知道 的 值 需要 维持 同步 的 问题 ,图 5. 27 中 的 另 一 个 缺点 
是 验证 者 要 判断 值 是 否 被 重复 使 用 过 ,如 果 值 很 多 , 则 存在 较 大 困难 。 


图 5.32 挑战 -应 答 身份 认证 技术 示意 图 


在 很 多 网 站 或 应 用 程序 的 登录 界面 中 ,服务 器 都 会 发 送 一 个 随机 生成 的 验证 码 到 客 
户 端 ,要 求 用 户 输 入 该 验证 码 , 如 图 5. 33 所 示 , 这 就 是 一 种 挑战 -应 答 机 制 , 当 用 户 输入 登 
录 密 码 后 ,客户 端 应 用 程序 会 用 登录 密码 的 散 列 值 加 密 验证 码 , 这 样 每 次 在 线路 上 传输 
的 认证 信息 都 不 相同 ,避免 了 重 放 攻 击 。 


个 人 网 下 银行 登录 


办 卡 ( 账 ) 号 /用 户 名 : [tangsix 找 回 用 户 名 
版 本 : 8.8 置 录 窗 码 : ma* 
验证 码 : [2296 | [ZZD.D] 
[到 二] 


图 5.33 ” 带 有 验证 码 的 用 户 登 录 界 面 (中 国 工商 银行 网 上 银行 登录 界面 ) 


对 于 各 种 口令 机 制 ,总 的 来 说 ,只 要 认证 双方 共享 了 一 个 秘密 (如 口令 或 对 称 密 钥 )， 
就 可 以 利用 它 来 进行 认证 ,认证 的 方法 又 可 分 为 3 种 : 

(1) 出 示 口 令 方式 。 申 请 者 直接 将 口令 提交 给 验证 者 ,验证 者 检查 口令 是 否 正确 。 
该 方式 的 缺点 是 口令 存在 被 线路 窃听 、 被 重 放 且 不 能 双向 认证 (申请 者 无 法 判断 验证 者 
是 否 确实 知道 口令 ) 的 缺点 。 

(2) 不 出 示 口 令 方式 。 申 请 者 用 口令 加 密 一 个 消息 ,将 加 密 的 消息 发 给 验证 者 ,验证 
者 用 口令 解密 ,如 果 得 到 消息 明文 则 验证 通过 。 该 方式 因为 没有 把 口令 发 送出 去 ,所 以 
解决 了 口令 被 窃听 和 不 能 双向 认证 的 问题 ,但 仍 存在 被 重 放 的 缺点 。 

(3) 挑战 -应 答 方式 。 验 证 者 发 一 个 随机 数 给 申请 者 ,申请 者 用 口令 的 散 列 值 加 密 该 
随机 数 给 验证 者 。 该 方式 解决 了 以 上 所 有 3 个 问题 ,但 增加 了 一 次 通信 。 
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535 口令 的 维护 和 管理 措施 


对 于 口令 认证 机 制 来 说 ,除了 使 用 上 面 的 技术 措施 保证 口令 系统 不 被 攻破 之 外 ,对 
口令 有 一 套 好 的 管理 措施 也 是 必要 的 ,这 些 措 施主 要 是 避免 口令 在 外 部 泄露 或 口令 被 猜 
测 到 。 


1. 对 付 口令 外 部 泄露 的 措施 


口令 的 外 部 泄露 是 指 由 于 用 户 或 管理 员 的 疏忽 或 其 他 原因 导致 未 授权 者 得 到 口令 。 
例如 ,用 户 为 了 防止 忘记 口令 而 将 口令 记录 在 一 个 不 安全 的 地 方 ,如 把 计算 机 的 登录 口 
令 写 在 纸 条 上 ,把 纸 条 贴 在 显示 器 上 ,把 银行 卡 的 口令 写 在 卡 的 背面 ,或 者 把 许多 口令 存 
储 在 一 个 未 受 保护 的 文本 文件 中 。 下 列 措施 可 以 有 助 于 防止 口令 的 外 部 泄露 : 

(1) 对 用 户 或 者 系统 管理 员 进 行 教育 、 培 训 , 增 强 他 们 的 安全 意识 。 

(2) 建立 严格 的 组 织 管理 和 执行 手续 。 

(3) 确保 每 个 口令 只 与 一 个 人 有 关 。 

(4) 确保 输入 的 口令 不 显示 在 屏幕 上 。 

(5) 使 用 易 记 的 口令 ,不 要 写 在 纸 上 。 

(6) 定期 改变 口令 ,不 要 让 所 有 系统 都 使 用 相同 的 口令 。 


2. 对 付 口 令 猜测 的 措施 


口令 猜测 也 是 一 个 严重 的 脆弱 性 ,下 列 措施 有 助 于 防止 口令 被 猜测 出 来 : 

(1) 严格 限制 非法 登录 的 次 数 。 

(2) 口令 验证 中 插入 实时 延 时 ,该 措施 常 和 第 (1) 条 措施 配合 使 用 ,比如 3 次 输 错 口 
令 , 就 延 时 一 分 钟 才 允 许 用 户 再 次 输入 ,这 可 以 有 效 地 限制 穷 举 攻击 的 测试 频率 。 

(3) 规定 口令 的 最 小 长 度 , 如 至 少 6~8 位 。 

(4) 防止 使 用 与 用 户 特 征 相关 的 口令 ,因为 攻击 者 很 容易 想到 从 用 户 相 关 的 一 些 信 
息 来 猜测 口令 ,比如 生日 .身份 证 号 .英文 名 等 。 

(5) 确保 口令 定期 改变 。 

(6) 更 改 或 取消 系统 安装 时 的 默认 口令 。 

(7) 使 用 随机 数 产 生 器 产生 的 口令 会 比 用 户 自己 选择 的 口令 更 难 猿 测 , 但 这 会 带 来 
记忆 问题 ,迫使 用 户 把 口令 写 在 纸 上 ,造成 口令 泄露 ,因此 不 建议 使 用 。 

避免 外 部 泄露 所 采取 的 措施 与 避免 口令 猜测 所 采取 的 措施 之 间 有 一 定 的 冲突 。 避 
免 口令 猜测 所 采取 的 方法 往往 导致 用 户 拥 有 较 少 的 口令 选择 机 会 。 如 果 口 令 很 难 记 忆 ， 
用 户 就 倾向 于 把 它 记 录 下 来 。 可 见 , 口 令 系统 的 设计 者 和 管理 者 要 折 中 考虑 这 些 措施 。 

虽然 口令 的 安全 级 别 不 是 很 高 ,但 由 于 其 相对 简单 .代价 低 ,对 于 许多 安全 要 求 不 是 
很 高 的 系统 来 说 ,口令 机 制 仍然 是 使 用 最 广泛 的 一 种 身份 认证 机 制 。 对 于 很 多 安全 措施 
要 求 很 高 的 系统 (如 网 上 银行 转账 ) ,通常 采用 口令 结合 其 他 鉴别 机 制 (如 U 盾 、 电 子 口令 
卡 等 ) 来 认证 。 


54 寓 用 的 身份 队 征 恢 议 


安全 协议 (又 称 密码 协议 ) 是 指 通过 密码 学 技术 来 达到 某 些 特殊 安全 需求 的 通信 协 
议 。 安 全 协议 根据 目的 不 同 可 分 为 身份 认证 协议 和 密 钥 交 换 协 议 等 。 在 5. 3 节 中 介绍 
的 口令 机 制 和 挑战 -应 答 机 制 实际 上 都 可 看 作 是 身份 认证 协议 ,本 节 将 介绍 其 他 一 些 常用 
的 身份 认证 协议 ,并 简要 分 析 认 证 协议 的 设计 原则 。 


541 一 次 性 口令 


一 次 性 口令 (One Time Password,OTP) 又 称 为 动态 口令 ,是 指 用 户 每 次 登录 时 都 使 
用 一 个 不 同 的 口令 。 这 样 通过 在 登录 过 程 中 加 入 不 确定 因素 ,使 每 次 登录 过 程 中 传送 的 
认证 信息 都 不 相同 ,以 对 抗 重 放 攻 击 。OTP 口令 变动 的 来 源 在 于 产 出 口令 的 运算 因子 是 
变化 的 。 

从 理论 上 看 ,要 实现 一 次 性 口令 ,服务 器 可 为 每 个 用 户 分 配 很 多 个 (比如 1000 个 ) 毫 
无 关联 的 随机 数 作 为 口令 ,用 户 携 带 一 个 保存 所 有 口令 的 密码 表 , 每 次 登录 时 按 顺序 输 
入 一 个 口令 供 服务 器 验证 。 但 这 样 带 来 的 问题 是 ,服务 器 为 了 能 够 验证 用 户 每 次 输入 的 
口令 ,不 得 不 保存 用 户 所 有 的 口令 到 服务 器 端 中 ,如 果 有 1000 个 用 户 , 为 每 个 用 户 都 要 
保存 1000 个 一 次 性 口令 , 则 服务 器 需要 保存 1 百 万 个 口令 ,这 样 服务 器 的 存储 和 查询 开 
销 都 相当 大 。 

而 在 实际 应 用 的 一 次 性 口令 方案 中 ,服务 器 都 只 为 每 个 用 户 保 存 一 个 初始 口令 即 
可 ,而 不 必 保 存 每 次 登录 的 口令 。 这 是 通过 以 下 3 种 方式 实现 的 。 


1. 口令 序列 认证 方式 


口令 为 一 个 单 向 的 前 后 相关 的 序列 ,系统 只 需 保存 第 N 个 口令 ,用 户 用 第 N 一 1 个 
口令 登录 系统 时 ,系统 用 单 向 算法 算出 第 N 个 口令 与 系统 保存 的 口令 进行 匹配 ,从 而 对 
用 户 的 合法 性 进行 判断 。 

1981 年 ,由 Lamport 提出 的 基于 散 列 链 的 一 次 性 口令 机 制 就 属于 这 种 方式 。 其 具 
体 过 程 如 下 。 

用 户 A 在 自己 的 电脑 上 生成 随机 数 RR, 然 后 选择 散 列 函 数 h(，), 如 MD5 或 SHA-1。 
随后 对 R 进行 n 次 散 列 运算 ,生成 散 列 链 h?° (CR) hi(R)h?(R) 3(R)、… hi(R)、…、 
hr!1(R) .h"(R), 其 中 (CR) 二 R,Ri(R) 二 hh 让 1(R)),1 二 i 二 n。 用 户 A 将 jr"(R) 提 交 给 
服务 器 ,服务 器 认证 系统 将 1"(R) 与 用 户 A 的 ID 关联 起 来 , 存 人 数据库 中 。 当 用 户 A 第 
一 次 登录 时 ,用 户 A 将 je CR) 与 自己 的 身份 ID, 即 ID |‖ 72:CR) 发 送 给 服务 器 ,服务 器 
根据 用 户 A 的 ID 从 数据 库 中 取出 严 CR) ,并 且 比较 1?r(R) 与 h(j”!(R)) 是 否 相 等 。 如果 
相等 则 说 明 用 户 登录 成 功 , 服 务 器 然后 用 h”"!(R) 替 换 数据 库 中 保存 的 1”*”(R)。 如 果 不 
相等 则 拒绝 为 用 户 A 提供 服务 。 

当 用 户 第 i 次 登录 时 ,用 户 A 将 1w'(R) 与 自己 的 身份 人 D, 即 ID eh” i(R) 发 送 给 服务 
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器 ,服务 器 根据 用 户 的 ID 从 数据 库 中 取出 如 六: CR) ,并且 比较 1”1(R) 与 h(J1"'(R)) 是 
否 相 等 。 如 果 相 等 则 说 明 用 户 登录 成 功 ,服务 器 然后 用 和 一 (R) 替 换 数 据 库 中 保存 的 
WR 

在 这 个 认证 系统 中 ,用 户 每 次 登录 系统 时 ,都 使 用 散 列 链 中 不 同 的 值 ,这 样 即使 攻击 
者 可 以 截获 用 户 A 与 服务 器 之 间 传 输 的 口令 ,他 也 无 法 假冒 用 户 A 登录 服务 器 成 功 。 
因为 攻击 者 截获 了 Wi(R) 后 ,由 于 hi(R) 已 经 被 用 户 使 用 过 ,攻击 者 无 法 再 次 发 送 hi (R) 
去 登录 ,他 必须 使 用 下 一 次 的 口令 去 登录 ,但 是 根据 散 列 函数 的 性 质 , 攻 击 者 无 法 根据 截 
获 的 hi(R) 计 算出 下 一 次 的 口令 下!1(R), 因 此 能 有 效 地 对 付 线路 窃听 攻击 和 重 放 攻 击 。 

而 且 , 每 次 登录 后 ,服务 器 中 只 保存 了 上 次 登录 时 的 口令 hi(R), 系 统管 理 员 无 法 根 
据 WC(R) 计 算出 下 次 登录 的 口令 "1(R) ,因此 该 方案 能 抵抗 危及 验证 者 的 攻击 。 

可 见 , 利 用 散 列 链 进行 身份 认证 ,能 有 效 抵抗 口令 机 制 中 存在 的 3 种 主要 威胁 ,因此 
是 一 种 非常 好 的 认证 方法 ,后 来 ,Haller 于 1994 年 提出 的 一 次 性 口令 系统 S/KEY 就 是 
基于 这 种 机 制 并 结合 了 挑战 -应 答 机 制 。 中 国 建设 银行 的 动态 口令 卡 也 是 基于 散 列 链 机 
制 的 ,这 种 口令 卡 上 记录 了 24 个 口令 ,后 面 一 个 口令 的 散 列 值 就 是 前 面 一 个 口令 ,第 24 
个 口令 作为 散 列 链 的 根 , 不 能 用 来 认证 。 而 是 当 卡 上 的 口令 用 完 时 用 来 更 新 卡 ( 即 更 新 
散 列 链 ) 。 

但 散 列 链 机 制 无 法 抵抗 中 间 人 攻击 ,假设 攻击 者 截获 了 某 次 用 户 发 送 给 服务 器 的 口 
令 ,并 且 使 服务 器 无 法 收 到 该 次 认证 口令 , 则 攻击 者 能 够 立刻 将 该 口令 重 放 给 服务 器 以 
获取 认证 。 

2. 时 间 同 步 认证 方式 


[ 


这 种 方式 将 时 间 戳 作为 不 确定 因子 ,用 户 与 系统 约定 相同 的 口令 生成 算法 ,服务 器 
保存 用 户 的 一 个 秘密 口令 明文 。 用 户 需要 访问 系统 时 ,将 客户 端 当前 时 间 连 同 用 户 的 秘 
密 口令 生成 的 动态 口令 传送 到 认证 服务 器 ,例如 ,登录 口令 二 MD5( 用 户 名 十 口令 十 登录 
时 间 )。 服 务 器 通过 当前 时 间 计 算出 所 期 望 的 输出 值 ,对 用 户 发 送 的 口令 进行 匹配 ,如 果 
匹配 , 则 登录 成 功 。 由 于 认证 服务 器 和 客户 端的 时 钟 保持 同步 ,因此 在 同一 时 刻 两 者 可 
以 计算 出 相同 的 动态 口令 。 这 种 方式 的 优点 是 操作 简单 , 单 向 数据 传输 ,只 需 用户 向 服 
务 器 发 送 口令 数据 ,而 服务 器 无 需 向 用 户 回 传 数据 。 缺 点 是 客户 端 需要 严格 的 时 间 同 步 
机 制 ,如 果 数 据 传输 的 时 间 延 迟 超过 允许 值 时 ,合法 用 户 在 登录 时 也 会 造成 身份 认证 失 
败 。 而 且 服 务 器 保存 口令 的 明文 也 会 带 来 安全 隐患 。 


3. 挑战 -应 答 认证 方式 


服务 器 在 收 到 用 户 的 登录 请 求 后 ,向 用 户 发 送 一 组 随机 挑战 数 作为 不 确定 因子 , 客 
户 端 通过 特定 的 算法 计算 出 相应 的 应 答 数 并 作为 口令 发 送 给 服务 器 ,服务 器 经 过 相同 的 
算法 计算 出 应 答 数 与 用 户 回 传 的 应 答 数 进行 比较 ,决定 接受 与 否 。 这 种 方式 实际 上 就 是 
5. 3.4 节 介 绍 的 挑战 -应 答 方式 。 其 优点 是 客户 端 设备 简单 ,不 需 时 间 同 步 ,各 个 口令 间 
的 不 相关 性 好 ,安全 性 高 ;缺点 是 须 具 备 数据 回 传 条 件 , 且 通常 没有 实现 用 户 和 服务 器 间 
的 相互 认证 ,不 能 抵抗 来 自 服务 器 端的 假冒 攻击 。FreeBSD 操作 系统 采用 的 就 是 类 似 的 
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Hrs rs tin 


登录 方法 。 
4. 一 次 性 口令 的 优点 


通过 以 上 介绍 和 分 析 , 可 见 一 次 性 口令 认证 技术 具有 多 种 优点 ,主要 表现 在 以 下 
几 点 : 

(1) 动态 性 。 每 次 使 用 不 同 的 口令 登录 ,每 个 动态 口令 使 用 过 一 次 后 ,不 能 再 重复 使 
用 。 有 效 地 防止 了 重 放 攻 击 和 线路 窃听 攻击 。 

(2) 抗 危及 验证 者 攻击 性 。 第 1 种 方式 验证 端 没 有 保存 并 且 无 法 计算 出 下 一 次 登录 
使 用 的 口令 ,因此 能 抵抗 危及 验证 者 的 攻击 ,但 第 2、3 种 方式 不 具有 这 种 特性 。 

(3) 随机 性 。 动 态 口令 每 次 都 是 随机 产生 的 ,不 可 预测 。 

(4) 抗 穷 举 攻击 性 。 由 于 动态 性 的 特点 ,如 果 一 次 或 一 分 钟 内 穷 举 不 到 ,那么 下 一 分 
钟 就 需要 重新 穷 举 ,而 新 的 动态 口令 可 能 就 在 已 经 穷 举 过 的 口令 中 。 


542 零 知识 证 明 


零 知 识 证 明 (zero knowledge proof) 技 术 可 使 信息 的 拥有 者 无 须 泄露 任何 信息 就 能 
向 验证 者 或 者 任何 第 三 方 证 明 它 拥有 该 信息 。 即 当 示 证 者 P 掌握 某 些 秘密 信息 ,P 以 某 
种 有 效 的 数学 方法 使 验证 者 V 确信 了 知道 该 秘 
密 , 但 P 又 不 需要 泄露 该 秘密 给 V, 这 就 是 所 谓 的 
零 知 识 证 明 。 

零 知 识 证 明 最 通俗 的 例子 就 是 图 5. 34 所 示 
的 山洞 问题 。 图 中 的 山洞 里 C、D 两 点 之 间 有 一 扇 
上 锁 的 门 ,P 知道 打开 门 的 咒语 ,按照 下 面 的 协议 
P 就 可 以 向 V 证 明 他 知道 咒语 ,但 不 需 告诉 V 名 
语 的 内 容 : 

(1) 让 V 站 在 A 点 。 

(2) P 进入 山洞 , 走 到 C 点 或 D 点 (山洞 入 口 
有 个 拐弯 ,V 看 不 到 了 在 到 达 B 点 后 是 向 左 走 还 是 向 右 走 )。 

(3) 当 P 消失 后 ,V 进入 B 点 。 

(4) V 要 求 P 从 左边 或 右边 出 来 。 

(5) P 按照 要 求 出 洞 (如 果 需 要 通过 门 , 则 使 用 咒语 ) 。 

(6) P 和 V 重 复 步 又 (1) 一 (5)z 次 。 

如 果 P 知道 咒语 ,他 一 定 可 以 按照 V 的 要 求 正 确 走 出 山洞 2 次 ;如 果 了 不 知道 咒语 ， 
他 需要 预测 V 的 要 求 ,每 次 预测 对 的 概率 是 0.5,n 次 预测 都 对 的 概率 是 0.5", 当 ?足够 
大 时 ,这 个 概率 趋向 于 零 。 

此 洞穴 问题 可 转换 成 数学 问题 ,实体 A 声称 知道 解决 某 个 难题 的 秘密 信息 ,但 又 不 
能 将 秘密 信息 泄露 给 实体 B, 那 么 实体 B 可 通过 与 实体 A 的 交互 验证 其 真 伪 ,下 面 给 出 

一 个 零 知识 证 明 协 议 的 具体 示例 。 
设 p 和 g 是 两 个 大 素数 ,n= 二 pxXg。 假设 用 户 A 知道 的 因子 ,如 果 用 户 A 想 向 用 


5.34 ” 零 知识 证 明 洞 穴 
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户 BB 证明 他 知道 的 因子 .但 却 不 想 向 B 泄露 的 因子 , 则 用 户 A 和 用 户 B 可 以 执行 下 
面 的 零 知 识 证 明 协 议 。 

(1) 用 户 B 随机 选取 一 个 大 整数 xz, 计算 y 三 x'(mod n)。 用 户 B 将 计算 结果 y 告诉 
用 户 A。 

(2) 用 户 A 计算 二 yw/: (mod n) ,并 将 结果 = 告诉 用 户 B。 

(3) 用 户 B 验证 xz 三 x? (mod 72) 是 否 成 立 。 

(4) 上 述 协议 重复 多 次 , 若 用 户 A 每 次 都 能 正确 地 计算 y? mod n, 则 用 户 B 就 可 以 
相信 用 户 A 知道 的 因子 p 和 g。 这 是 因为 在 数论 中 可 以 证 明 , 要 计算 w'? mod n 等 价 
于 对 进行 因 式 分 解 , 若 用 户 A 不 知道 的 因子 p 和 qd, 则 ymodn 是 计算 不 出 的 。 因 
此 , 当 在 重复 执行 该 协议 次 的 情况 下 ,用 户 A 都 能 正确 地 给 出 , 则 用 户 B 可 以 以 非常 大 
的 概率 认为 用 户 A 知道 的 因子 p 和 g ,而且 用 户 A 并 没有 将 n 的 因子 泄露 给 B。 

在 身份 认证 协议 中 ,Fiege-Fiat-Shamir 方案 是 最 著名 的 零 知 识 证 明 方案 。 验 证 者 通 
过 发 布 大 量 的 质询 给 声称 者 ,声称 者 对 每 个 质询 计算 一 个 响应 ,在 计算 中 使 用 了 秘密 信 
息 。 通 过 检查 这 些 应 答 是 否 正确 (可 能 需要 使 用 公 钥 ) ,验证 者 相信 声称 者 的 确 拥有 秘密 
信息 ,但 在 应 答 过 程 中 无 任何 秘密 泄露 。 


543 认证 协议 设计 的 基本 要 求 


通过 对 口令 机 制 的 研究 ,可 以 发 现 这 种 身份 认证 协议 面临 非常 多 的 威胁 ,需要 考虑 
很 多 方面 的 安全 因素 。 这 表明 ,认证 协议 的 设计 是 一 项 非常 复杂 和 困难 的 工作 ,许多 在 
设计 时 被 认为 是 安全 的 协议 ,后 来 都 被 发 现存 在 安全 漏洞 。 但 一 般 来 说 ,认证 协议 只 要 
考虑 以 下 几 点 ,就 可 以 保证 协议 不 会 出 现 一些 非 常 明显 的 安全 漏洞 。 如 果 和 希望 进一步 提 
高 协议 的 安全 性 ,可 以 采用 安全 协议 的 形式 化 分 析 方法 (如 BAN 逻辑 等 ) 对 协议 进行 
分 析 。 

认证 协议 在 设计 时 主要 应 考虑 以 下 原则 : 四 认证 的 不 可 传递 性 ; @ 抗 重 放 攻 击 性 ; 
@ 安 全 性 与 具体 密码 算法 无 关 性 。 


1. 认证 的 不 可 传递 性 


认证 的 不 可 传递 性 是 指认 证 消息 不 能 传递 给 验证 者 。 因 为 ,在 认证 完成 之 前 ,不 能 
确定 验证 者 是 否 是 真实 的 验证 者 ,如 果 验 证 者 是 假冒 的 , 则 认证 消息 传递 给 假冒 的 验证 
者 后 ,认证 消息 就 泄露 给 第 三 方 了 ,而 我 们 知道 ,基于 共享 秘密 进行 认证 的 前 提 是 只 有 申 
请 者 和 验证 者 双方 知道 该 秘密 ,其 他 任何 人 都 不 能 知道 。 

例如 在 生活 中 ,如 果 某 人 捡 到 钱包 ,而 失主 前 来 认领 , 则 拾 到 者 通常 会 询问 认领 者 钱 
包 里 有 多 少 钱 物 ,以 鉴别 认领 者 是 否 是 真正 的 失主 。 这 是 因为 拾 到 者 和 失主 共享 了 一 个 
秘密 ,因此 可 以 相互 进行 单 向 认证 。 但 如 果 拾 到 者 是 假冒 的 ,而 失主 将 钱 物 信息 (秘密 ) 
告诉 他 之 后 ,这 个 双方 共享 的 秘密 就 扩散 出 去 了 。 这 时 假冒 者 可 以 找到 真正 的 拾 到 者 ， 
说 出 知道 的 秘密 并 声称 钱包 是 他 的 ,可 见 这 种 认证 方法 不 具有 不 可 传递 性 。 对 于 这 种 情 
况 , 声 称 者 可 以 不 泄露 秘密 ,比如 只 说 出 钱 的 各 位 数 的 和 是 多 少 。 

假设 P 是 声称 者 ,V 是 验证 者 ,P 向 V 出 示 明 文 形式 的 鉴别 信息 (如 明文 口令 )。 如 
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果 V 是 真实 的 验证 者 , 则 V 能 验证 P, 而 且 认 证 信息 也 不 会 泄露 给 第 三 方 。 但 如 果 V 是 
假冒 的 验证 者 , 则 P 向 V' 出 示 鉴 别 信 息 后 ,V' 就 掌握 了 P 的 鉴别 信息 ,以 后 V' 就 可 以 冒 
充 P 在 真实 的 V 处 获得 认证 通过 。 产 生 这 个 问题 的 根源 是 P 将 认证 信息 传递 给 了 V'， 
因此 ,认证 协议 在 设计 时 必须 具有 不 可 传递 性 ,实现 的 方法 可 以 是 P 不 将 认证 信息 的 明 
文 形式 发 送 给 V( 例 如 用 认证 信息 加 密 一 个 随机 值 ) ,或 者 使 用 挑战 -应 答 方式 进行 认证 ， 
使 假冒 者 不 能 获得 原始 的 鉴别 信息 ,这样 就 保证 了 鉴别 信息 只 有 声称 者 和 验证 者 知道 。 


2. 抗 重 放 攻 击 性 


认证 协议 应 具有 抵抗 常见 攻击 ,特别 是 抵抗 重 放 攻 击 的 能 力 。 因 为 重 放 攻 击 是 认证 
协议 中 最 难 抵抗 的 一 类 攻击 ,常用 的 抵抗 重 放 攻 击 的 方法 有 : 中 保证 临时 值 和 会 话 密 角 
等 重要 消息 的 新 鲜 性 。@ 在 认证 信息 中 加 入 身份 ID 信息 。 例 如 ,在 基于 公 钥 密码 体制 
的 认证 协议 中 ,车 存在 先 签名 后 加 密 的 消息 ,应 该 在 签名 的 消息 中 加 入 接收 方 的 名 字 ,以 
防止 攻击 者 将 消息 重 放 给 第 三 方 ; 若 存在 先 加 密 后 签名 的 消息 , 则 应 该 在 加 密 的 消息 中 
加 入 发 送 方 的 名 字 。 


3. 安全 性 与 具体 的 密码 算法 无 关 


认证 协议 的 设计 必须 独立 于 具体 的 密码 算法 ,这样 才 便于 将 认证 和 加 密 放 在 不 同 的 
层次 上 实现 。 

认证 协议 在 设计 时 还 需 考虑 如 下 几 个 因素 : 四 可 识别 率 最 大 化 ; @ 可 欺骗 率 最 小 
化 ; 加 双向 认证 ; @ 第 三 方 可 信任 ; @ 成 本 最 小 化 , 尽 可 能 减少 密码 运算 次 数 ,降低 计算 
成 本 ,扩大 应 用 范围 。 

认证 协议 的 设计 原则 还 有 以 下 几 点 : 

(1) 设计 目标 明确 ,无 二 义 性 。 

(2) 最 好 应 用 描述 协议 的 形式 语言 ,对 认证 协议 本 身 进行 形式 化 描述 。 

(3) 通过 形式 化 分 析 方 法 证 明 认证 协议 实现 了 设计 目标 。 

(4) 尽量 采用 异步 认证 方式 ,特别 是 防止 重 放 攻击 的 能 力 。 

(5) 进行 运行 环境 的 风险 分 析 , 做 尽 可 能 少 的 初始 安全 假设 。 

(6) 实用 性 强 , 可 用 于 各 种 网 络 的 不 同 协议 层 。 


544 其 他 身份 认证 的 机 制 


1. 基于 人 的 生理 特征 的 身份 认证 


基于 人 的 生理 特征 的 认证 用 于 支持 “ 某 人 具有 某 种 特征 ”, 它 依据 人 类 自身 固有 的 生 
理 或 行为 特征 进行 识别 。 比 较 常见 的 生理 特征 识别 技术 包括 虹膜 扫描 、 指 纹 、 脸 形 、 声 
音 、 掌 纹 、 视 网 膜 等 ,行为 特征 识别 包括 笔迹 识别 . 击 键 时 间 、 步 态 识别 等 。 生 物 特征 一 般 
通过 光学 扫描 设备 输入 计算 机 ,然后 与 事先 保存 在 计算 机 中 的 图 像 数 据 进行 匹配 和 识 
别 , 这 些 技 术 已 经 在 金融 等 行业 得 到 了 应 用 。 但 是 它们 需要 精密 的 扫描 设备 和 大 型 模式 
匹配 软件 ,系统 整体 造价 较 高 。 
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总 的 来 看 ,可 以 用 于 身份 认证 的 生物 特征 一 般 具 有 以 下 几 个 特点 : 

(1) 普遍 性 , 即 任何 人 都 应 具备 这 种 特征 。 

(2) 唯一 性 , 即 任意 两 个 人 的 同一 特征 是 不 一 样 的 。 

(3) 可 测量 性 , 即 特征 可 以 被 测量 。 

(4) 稳定 性 , 即 特 征 在 一 段 时 间 内 不 容易 改变 。 

基于 生物 特征 的 身份 认证 系统 主要 工作 流程 如 图 5. 35 所 示 。 图 中 有 两 个 逻辑 模 
块 : 注册 模块 和 认证 模块 。 在 注册 模块 中 ,首先 登记 用 户 的 姓名 和 其 他 个 人 信息 ,通过 生 
物 特征 识别 传感器 获取 用 户 的 生物 特征 信息 ,并 利用 特征 提取 单元 提取 特征 模式 ( 样 
本 ), 形 成 用 户 模 板 , 并 存储 在 系统 数据 库 中 。 进 行 认证 时 ,首先 在 认证 模块 中 获取 特征 
信息 ,并 提取 特征 模式 ,再 与 系统 数据 库 中 的 模板 进行 模式 匹配 判决 , 即 如 果 两 个 样本 的 
相似 度 大 于 给 定 的 阔 值 (表明 足够 匹配 ), 则 身份 认证 成 功 。 


用 户 生物 特征 特征 系统 
注册 识别 传感器 提取 数据 库 


身份 生物 特征 | 特征 | 特征 \ 匹配 结果 _ 
认证 识别 传感器 提取 匹配 


5.35 基于 生物 特征 识别 的 身份 认证 流程 


目前 ,采用 生物 特征 的 认证 技术 还 具有 一 定 的 局 限 性 。 表 现在 以 下 几 点 : 

(1) 生物 特征 识别 的 准确 性 和 稳定 性 还 有 待 提高 ,特别 是 如 果 用 户 身体 受到 伤 病 的 
破坏 可 能 导致 无 法 正常 识别 ,造成 合法 用 户 无 法 登录 。 

(2) 由 于 研发 投入 较 大 和 产量 较 小 等 原因 ,生物 特征 认证 的 应 用 成 本 相对 较 高 ,目前 
只 适合 于 一 些 安全 性 要 求 非常 高 的 场合 ,如 银行 .部 队 等 使 用 。 

(3) 由 于 生物 特征 只 有 人 才 有 ,因此 , 它 只 能 用 于 解决 人 的 身份 认证 ,而 网 络 环境 下 
更 多 的 时 候 是 应 用 程序 之 间 .主机 之 间 需 要 进行 身份 认证 ,这 是 生物 特征 认证 所 无 法 解 
决 的 。 


2. 基于 地 址 的 机 制 


基于 地 址 的 认证 机 制 是 以 认证 声称 者 的 呼叫 源 地 址 为 基础 的 ,在 网 络 环境 中 ,获取 
声称 者 的 IP 地 址 是 可 行 的 。 只 要 能 确保 获取 的 地 址 可 靠 , 基 于 地 址 的 机 制 可 以 作为 其 
他 身份 认证 机 制 的 一 种 有 用 补充 。 


3. 基于 令 牌 的 机 制 


令 牌 即 个 人 持 有 物 , 令 牌 的 物理 特性 用 于 支持 认证 的 “ 某 人 拥有 某 东 西 ”, 但 令 牌 通 
常 要 与 一 个 口令 或 PIN 结合 使 用 。 

目前 在 计算 机 应 用 系统 中 应 用 较 广 泛 的 令 牌 设备 是 智能 卡 。 智 能 卡 内 部 包含 CPU 
和 存储 器 ,能 够 进行 特定 运算 并 且 存 储 数 据 。 智 能 卡 是 一 种 接触 型 的 认证 设备 ,需要 与 
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读 卡 设备 进行 对 话 ,而 不 是 由 读 卡 设备 直接 将 存储 的 数据 读 出 。 智 能 卡 自身 安全 一 般 受 
PIN 码 保护 ,PIN 码 是 由 数字 组 成 的 口令 ,只 有 读 卡 机 将 PIN 码 输入 智能 卡 后 才能 读 出 
卡 中 保存 的 数据 。 通 常 它 有 防止 在 线 攻击 的 措施 ,有 些 系统 在 用 户 连 续 出 现 若干 次 PIN 
码 输入 错误 后 自动 锁定 该 卡 , 不 再 提供 任何 信息 。 

智能 卡 比 磁卡 安全 ,可 以 存放 更 多 的 秘密 信息 。 如 果 智 能 卡 被 盗 取 或 者 丢失 ,由 于 
攻击 者 不 知道 PIN 码 也 无 法 使 用 智能 卡 。 挑 战 -应 答 卡 是 常用 的 一 种 智能 卡 技术 , 它 基 
于 加 密 算法 ,通常 采用 公 钥 密码 算法 , 卡 中 存储 着 用 户 私 钥 用 来 进行 加 /解密 运算 ,该 密 
钥 很 难 被 读 出 。 使 用 该 卡 可 以 在 离线 状态 下 进行 认证 ,在 认证 阶段 首先 递交 代表 自己 身 
份 的 公 钥 证 书 , 系 统 在 验证 过 证 书 的 签发 者 后 就 获得 用 户 公 钥 ,随后 系统 用 公 钥 将 一 串 
数据 加 密 后 输入 卡 中 并 发 出 解密 请 求 , 智 能 卡 进 行 解密 运算 后 将 结果 传送 给 系统 ,系统 
验证 结果 后 就 可 以 确定 该 卡 是 否 知道 用 户 私 钥 ,最 终 验 证 用 户 身份 。 

还 有 一 种 智能 卡 被 称 作 挑战 -应 答 计 算 器 , 卡 中 保存 一 个 加 密 密 钥 并 且 能 够 进行 加 / 
解密 运算 。 这 种 卡 不 需要 与 计算 机 进行 直接 通信 ,因为 它 有 一 个 数字 键盘 和 液晶 屏幕 与 
用 户 直接 进行 交互 ,一 般 通 过 PIN 来 保护 卡 本 身 的 输入 。 使 用 时 计算 机 向 用 户 发 出 一 个 
随机 挑战 数据 ,用 户 将 它 输 入 加 密 计 算 器 中 进行 运算 ,再 将 液晶 屏 显 示 的 结果 手工 输入 
到 计算 机 中 进行 响应 。 这 样 用 户 不 需要 投资 购买 读 卡 设备 就 可 以 使 用 智能 卡 提供 的 身 
份 认证 保护 。 


“55 单 点 和 营 录 技术 


单 点 登录 (Single Sign On,SSO) 是 指 用 户 只 需 向 网 络 进行 一 次 身份 认证 ,以 后 无 须 
再 另外 验证 身份 , 便 可 访问 所 有 被 授权 的 网 络 资源 。 


551 单 点 登录 的 好 处 


由 于 目前 各 个 网 站 、 应 用 系统 都 设置 了 独立 的 用 户 身 份 认 证 系统 ,用 户 每 访问 一 个 
网 站 或 应 用 系统 (如 邮件 系统 、 即 时 通信 和 系统、 办公 系统 ) 就 需要 输入 一 次 用 户 名 和 口令 
进行 登录 ,每 天 有 大 量 的 时 间 浪 费 在 重复 登录 的 过 程 中 。 因 此 , 单 点 登录 技术 成 为 当前 
身份 认证 领域 研究 的 一 个 热点 问题 。 单 点 登录 实际 上 是 一 种 统一 身份 认证 的 模式 ,通过 
这 种 身份 认证 ,用 户 只 需要 认证 一 次 ,就 可 以 通行 于 所 有 的 应 用 系统 中 。 这 样 可 带 来 以 
下 几 点 好 处 : 

(1) 方便 用 户 的 使 用 ,这 是 单 点 登录 系统 最 突出 的 优点 。 使 用 传统 认证 授权 机 制 的 
用 户 ,为 了 得 到 服务 的 认证 ,需要 记忆 每 个 服务 的 用 户 名 和 口令 ,并 且 在 使 用 每 个 不 同 服 
务 时 都 需要 进行 认证 和 授权 。 而 使 用 了 单 点 登录 系统 后 ,上 面 的 问题 都 不 存在 了 ,用 户 
只 需要 在 使 用 第 一 个 服务 时 进行 一 次 身份 认证 , 接 下 来 使 用 其 他 任何 服务 的 过 程 中 都 不 
需要 再 次 进行 认证 和 授权 了 。 

(2) 更 合理 有效 地 管理 用 户 。 随 着 用 户 数量 的 迅速 增长 ,每 个 Web 服务 需要 管理 
和 维护 的 用 户 信息 数据 量 也 在 迅速 增多 ,如 果 每 个 服务 单位 都 自 带 认证 系统 软件 和 保存 
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用 户 信 息 的 数据 库 , 而 且 每 个 用 户 数据 库 中 都 保存 了 所 有 用 户 的 信息 , 则 造成 了 重复 建 
设 , 加 大 了 投资 成 本 。 同 时 很 多 系统 都 要 维护 一 个 用 户 的 认证 信息 是 很 麻烦 的 。 例 如 ， 
如 果 一 个 企业 员工 离职 , 则 管理 员 需 要 把 他 在 各 个 系统 中 的 身份 信息 一 一 删除 。 

(3) 提高 了 系统 的 整体 安全 性 。 单 点 登录 技术 由 于 减少 了 认证 的 次 数 ,使 用 户 名 和 
口令 的 传输 次 数 减少 ,因此 受到 攻击 的 可 能 性 也 相应 减 小 ,从 而 提高 了 系统 的 整体 安 

由 此 可 见 ,建立 一 套 单 点 登录 系统 的 解决 方案 ,无论 是 对 现 有 服务 系统 的 整合 ,还 是 
要 兼容 后 续 开 发 的 服务 系统 ,都 显得 尤为 重要 。 目 前 单 点 登录 系统 采用 的 最 流行 的 技术 
有 Microsoft 的 . NET PassPort Oracle 的 Oracle 9iAS SSO MIT 的 Kerberos 认证 协议 
和 OASIS 的 SAML 标准 。 

单 点 登录 技术 对 于 电子 商务 的 发 展 具有 很 好 的 促进 作用 。 设 想 一 下 ,如 果 只 要 在 某 
一 家 购物 网 站 登录 一 次 ,再 访问 其 他 的 购物 网 站 就 不 需要 登录 了 ,对 消费 者 来 说 无 疑 是 
一 种 更 好 的 用 户 体验 。 又 比如 ,电子 商务 网 站 的 管理 者 可 能 每 天 都 要 登录 许多 系统 (如 
商品 发 布 系统 .物流 系统 .客户 管理 系统 ) ,如 果 能 一 次 性 登录 这 些 系统 ,将 给 工作 带 来 极 
大 的 方便 。 对 于 基于 账户 的 微 支 付 来 说 ,如 果 用 户 登录 一 次 他 的 账户 就 能 在 任何 网 站 中 
进行 支付 ,将 给 购物 消费 带 来 方便 。 

但 要 实现 单 点 登录 ,必须 解决 一 些 难题 。 单 点 登录 技术 所 面临 的 挑战 包括 几 个 
方面 

(1) 多 种 应 用 平台 ,SSO 应 具有 跨 平台 运行 的 能 力 。 

(2) 不 同 的 安全 机 制 。 

(3) 不 同 的 账户 服务 系统 。 


552 单 点 登录 系统 的 分 类 


实现 单 点 登录 系统 有 不 同 的 方法 和 模型 结构 ,目前 常用 的 有 基于 经 纪 人 的 单 点 登录 
模型 .基于 代码 的 单 点 登录 模型 .基于 网 关 的 单 点 登录 模型 和 基于 令 牌 的 单 点 登录 模型 。 


1. 经 纪 人 模型 (broker-based SSO) 


在 基于 经 纪 人 的 单 点 登录 模型 中 ,有 一 个 中 央 服 务 器 ,集中 认证 和 管理 用 户 账号 ,并 
向 用 户 发 放 用 于 向 应 用 系统 请 求 访问 的 电子 身份 标识 。 模 型 中 最 关键 的 是 认证 服务 器 ， 
它 处 在 客户 机 和 应 用 服务 器 之 间 , 用 来 全 权 打 理 认证 事务 ,扮演 一 个 经 纪 人 的 角色 。 
Kerberos 认证 系统 就 是 基于 经 纪 人 模型 的 。 

该 模型 主要 有 3 个 部 分 : 客户 端 .认证 服务 器 .应 用 服务 器 ,其 工作 流程 如 下 : 

(1) 客户 端 访问 应 用 系统 时 会 自动 重 定向 到 认证 服务 器 ,并 且 与 认证 服务 器 进行 双 
向 身份 认证 ,认证 通过 则 获得 电子 身份 标识 。 

(2) 客户 端 利用 已 获得 的 电子 身份 标识 访问 各 种 应 用 系统 ,从 而 实现 单 点 登录 。 

(3) 应 用 系统 负责 检查 电子 身份 标志 :如果 电 子 身份 标识 是 伪造 的 或 者 是 过 期 的 , 则 
拒绝 用 户 访 问 。 

基于 经 纪 人 的 SSO 解决 方案 的 最 大 优点 是 实现 了 用 户 认 证 数据 的 集中 管理 。 但 
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是 , 它 也 有 一 些 不 足 之 处 : 
(1) 基于 经 纪 人 的 SSO 模型 必须 对 应 用 系统 进行 修改 ,使 其 支持 电子 身份 认证 。 
(2) 基于 经 纪 人 的 SSO 模型 ,特别 是 Kerberos 身份 验证 仅 基 于 密码 ,从 而 使 系统 容 
易 受 到 密码 猜测 攻击 ,如 果 攻 击 者 的 密码 猜测 正确 ,就 会 获得 会 话 密 钥 , 并 继续 得 到 最 终 
认证 和 访问 权限 。 


2. 代理 模型 (agent-based SSO) 


在 基于 代理 的 单 点 登录 模型 中 ,启动 一 个 自动 的 代理 程序 为 不 同 的 应 用 程序 认证 用 
pe te We ced eget hn so on 
它 需 要 使 代理 程序 与 原 系统 的 协议 进行 交互 ,比较 复杂 。 代 理 模 型 可 以 使 用 强 密码 技 
术 , 具 有 安全 保证 ,不 过 这 种 模型 并 不 能 减轻 用 户 管理 的 负担 ,往往 还 会 需要 管理 和 控制 
代理 软件 的 权限 ,SSH(Secure Shell) 是 基于 代理 的 单 点 登录 模型 的 典型 应 用 。 通 过 使 用 
SSH ,可 以 把 所 有 传输 的 数据 进行 加 密 ,这 样 就 能 防止 DNS 和 1IP 欺骗 。 这 是 一 个 为 在 网 
上 进行 安全 连接 的 C/S 类 型 的 加 密 软 件 , 它 实 现 了 一 个 密 钥 交换 协议 以 及 主机 和 客户 端 
认证 协议 。 

基于 代理 的 SSO 解决 方案 由 3 个 部 分 组 成 :客户 端 ,应 用 系统 服务 器 以 及 代理 软件 。 
代理 模型 有 两 种 工作 方式 : 当代 理 软件 工作 在 客户 端 时 ,会 在 本 地 存储 用 户 的 登录 凭证 
列表 ,并 自动 提交 用 户 登录 凭证 到 相应 的 应 用 系统 ,代替 用 户 参 与 系统 认证 。 当 代理 软 
件 工 作 在 应 用 系统 端 时 , 它 会 在 应 用 系统 端的 身份 认证 机 制 和 客户 端的 认证 方式 之 间 充 
当 一 个 “解释 器 ”的 作用 。 

基于 代理 的 单 点 登录 模型 保证 了 通道 的 安全 性 和 单 点 登录 的 实现 ,具有 比较 好 的 可 
实施 性 和 灵活 性 ;但 是 它 也 有 一 个 很 大 的 缺陷 ,就 是 用 户 的 登录 凭证 需要 在 本 地 进行 存 
储 , 这 样 就 增加 了 口令 泄露 的 危险 ;另外 ,在 实现 单 点 登录 时 ,每 个 运行 SSH 的 主机 (不 
管 是 服务 器 还 是 客户 端 ) 必 须 有 一 个 安全 代理 程序 在 运行 ,这 增加 了 兼容 现 有 系统 时 的 
开发 量 。 

因此 ,综合 经 纪 人 模型 认证 管理 集中 的 优点 和 代理 模型 减少 对 应 用 程序 改造 的 优 
点 ,提出 了 经 纪 人 -代理 模型 概念 ,是 优势 比较 突出 也 是 目前 用 得 较 多 的 模型 。 


3. 网 关 模 型 (gateway-based SSO) 


基于 网 关 的 单 点 登录 模型 在 网 络 入 口 处 设置 防火 墙 或 专用 加 密 通 信 设 备 作 为 网 关 ， 
而 所 有 请 求 的 服务 都 放 在 被 网 关 隔 离 的 受信 任 网 络 内 。 客 户 端 通过 网 关 认 证 后 获得 授 
权 , 就 可 以 访问 应 用 系统 服务 。 网 关 的 验证 规则 可 以 有 多 种 方式 ,可 以 基于 用 户 名 密码 ， 
可 以 基于 IP 地 址 ,也 可 以 基于 MAC 物理 地 址 等 。 网 关 负 责 监视 和 验证 所 有 通过 网 关 
的 数据 流 。 

而 资源 被 隔离 在 内 部 受信 网 段 中 。 当 用 户 需 要 访问 网 关 后 面 的 应 用 服务 器 时 ,首先 
需要 通过 与 网 关连 接 的 用 户 数 据 库 进 行 认证 ,认证 通过 后 网 关 自 动 将 用 户 身份 传递 到 要 
访问 的 目标 应 用 服务 器 进行 认证 ,经 应 用 服务 器 认证 通过 后 ,用 户 通 过 网 关 对 应 用 系统 
进行 后 续 的 访问 。 
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在 这 种 方案 中 ,所 有 的 应 用 服务 器 都 需要 放 在 被 网 关 隔 离 的 受信 网 段 里 。 客 户 端 通 
过 网 关 进 行 认证 后 获得 接受 服务 的 授权 。 如 果 在 网 关 后 的 服务 器 能 够 通过 IP 地 址 进行 
识别 ,并 在 网 关上 建立 一 个 基于 IP 的 规则 ,而 这 个 规则 如 果 与 在 网 关上 的 用 户 数据 库 相 
结合 ,网 关 就 可 以 实现 单 点 登录 。 网 关 将 记录 用 户 的 身份 而 不 再 需要 宛 余 的 认证 请 求 ， 
便 可 授权 所 要 求 的 任何 服务 。 

这 种 方案 只 能 对 内 部 网 络 中 的 服务 实现 单 点 登录 ,而 且 对 现 有 网 络 环境 要 求 比较 严 
格 , 因 此 该 方案 应 用 范围 并 不 广泛 。 


4. 各 模型 的 优 缺 点 


基于 经 纪 人 的 模型 提供 了 集中 式 的 身份 认证 和 用 户 管理 ,其 优点 是 :不 但 实现 单 点 
登录 ,而 且 也 方便 了 用 户 信 息 的 集中 管理 。 与 基于 网 关 的 模型 相 比 ,通过 身份 认证 的 客 
户 端 ,直接 赁 认证 服务 器 颁发 的 电子 身份 凭证 去 访问 应 用 系统 ,不 再 需要 与 认证 服务 器 
交互 ,这 就 降低 了 认证 服务 器 的 工作 压力 。 其 缺点 是 :应 用 系统 需要 解析 用 户 的 电子 身 
份 凭证 ,这 需要 对 现 有 的 每 一 个 应 用 系统 做 改造 ,工作 量 比 较 大 。 

基于 网 关 的 模型 中 ,所 有 客户 端 通过 网 关 来 访问 应 用 系统 ,网 关连 接 的 用 户 信息 数 
据 库 保存 了 用 户 的 身份 和 权限 信息 ,方便 了 对 用 户 的 认证 和 授权 。 网 关 是 系统 最 核心 的 
组 件 ,容易 被 攻击 ,需要 防火 墙 的 保护 , 它 的 性 能 制约 着 整个 单 点 登录 系统 的 效率 。 如 果 
网 关 没有 足够 强大 的 处 理 能 力 , 容 易 成 为 整个 系统 性 能 的 瓶颈 。 

基于 代理 的 模型 中 ,代理 软件 只 是 单纯 地 代替 用 户 完 成 身份 认证 ,缺乏 统一 的 用 户 
管理 。 并 且 该 模型 可 能 需要 在 本 地 存储 用 户 的 登录 凭证 ,这 就 无 形 中 增加 了 用 户口 令 泄 
露 的 概率 。 其 优点 是 ,只 要 设计 和 实现 好 代理 软件 与 应 用 系统 的 通信 协议 , 则 该 模型 易 
于 移植 ,具有 较 好 的 灵活 性 和 可 实施 性 。 


553 单 点 登录 的 实现 方式 
1. 利用 凭证 实现 单 点 登录 


单 点 登录 的 技术 实现 机 制 : 当 用 户 第 一 次 访问 应 用 系统 的 时 候 , 因 为 还 没有 登录 ,会 
被 引导 到 认证 系统 中 进行 登录 ;根据 用 户 提供 的 登录 信息 ,认证 系统 进行 身份 认证 ,如 果 
通过 认证 ,应 该 返回 给 用 户 一 个 认证 的 凭证 一 一 票据 (Ticket) ;用 户 再 访问 别 的 应 用 的 时 
候 , 就 会 将 这 个 票据 带 上 ,作为 自己 认证 的 凭据 ,应 用 系统 接收 到 请 求 之 后 会 把 票据 送 到 
认证 系统 进行 认证 ,检查 票据 的 合法 性 。 如 果 通 过 认证 ,用 户 就 可 以 在 不 用 再 次 登录 的 
情况 下 访问 其 他 的 应 用 系统 了 。 

可 以 看 出 ,要 实现 SSO, 需 要 以 下 主要 的 功能 : 

(1) 所 有 应 用 系统 共享 一 个 身份 认证 系统 。 

(2) 所 有 应 用 系统 能 够 识别 和 提取 ticket 信息 。 

(3) 应 用 系统 能 够 识别 已 经 登录 过 的 用 户 , 能 自动 判断 当前 用 户 是 否 登录 过 ,从 而 完 
成 单 点 登录 的 功能 。 

其 中 统一 的 身份 认证 系统 是 SSO 的 核心 ,认证 系统 的 主要 作用 是 将 用 户 的 登录 信息 


134 


Huss tin 


和 用 户 信 息 库 相 比 较 , 对 用 户 进行 登录 认证 。 认 证 成 功 后 ,认证 系统 应 该 生成 统一 的 票 
据 返 还 给 用 户 ,认证 系统 还 应 该 能 对 票据 进行 认证 ,判断 其 有 效 性 。 
需要 说 明 的 是 ,对 于 一 个 统一 的 认证 系统 , 它 可 以 存在 于 一 台 认 证 服务 器 中 ,也 可 以 
存在 于 多 台 认 证 服务 器 中 ,这 些 认 证 服务 器 之 间 只 要 通过 标准 的 通信 协议 ,就 可 以 互相 
交换 认证 信息 。 对 基于 Web 的 单 点 登录 系统 来 说 ,由 于 不 可 能 将 所 有 的 用 户 信息 保存 
一 台 认 证 服务 器 上 ,因此 更 多 地 采用 的 是 多 台 认证 服务 器 的 方式 ,这 些 认证 服务 器 组 
成 一 个 信任 联盟 ,通过 一 台 认 证 服务 器 的 认证 就 相当 于 通过 了 整个 信任 联盟 的 认证 了 。 


2. 利用 PKI/CA 实现 


PKI/CA 可 用 来 实现 身份 认证 ,利用 PKI/CA 实现 单 点 登录 也 是 很 常见 的 。 

首先 ,采用 PKI/CA 技术 来 建立 单 点 登录 各 相关 实体 的 信任 关系 ,CA 为 用 户 、 各 应 
用 系统 和 单 点 登录 服务 器 颁发 数字 证 书 。 利 用 数字 证 书 来 实现 各 方 的 身份 认证 ,使 用 加 
密 和 数字 签名 技术 处 理 系统 中 的 关键 认证 消息 ,保证 各 种 关键 消息 在 传递 过 程 中 的 机 密 
性 、 完 整 性 和 真实 性 。 

其 次 ,在 单 点 登录 模型 方面 ,结合 经 纪 人 模型 和 代理 模型 的 优点 ,通常 使 用 一 种 基于 
经 纪 人 -代理 的 混合 模型 。 一 方面 ,采用 经 纪 人 模型 的 集中 式 身 份 认证 ; 男 一 方面 ,可 以 在 
Web 应 用 系统 中 加 入 认证 代理 ,代理 用 户 完成 在 应 用 系统 内 的 身份 认证 ,增强 单 点 登录 
服务 的 可 实施 性 。 

第 三 ,在 单 点 登录 流程 的 设计 方面 ,通常 借鉴 Kerberos 协议 的 基于 票据 访问 的 设计 
思想 ,为 用 户 生 成 各 种 相关 票据 ,票据 中 含有 用 户 的 身份 认证 信息 或 访问 某 个 Web 应 用 
的 认证 信息 。 登 录 流程 中 各 相关 实体 之 间 的 跳 转 和 参数 的 传递 可 以 由 URL 重 定向 来 完 
成 。 单 点 登录 服务 器 可 向 通过 身份 认证 的 用 户 浏览 器 发 送 会 话 Cookie 形式 的 认证 令 牌 ， 
当 用 户 再 次 访问 认证 服务 器 会 自动 携带 此 Cookie, 可 免除 对 用 户 的 认证 。Cookie 的 传输 
要 通过 安全 SSL 通道 来 完成 。 


3. 利用 Session 或 Cookie 机 制 实现 单 点 登录 


Session 和 Cookie 能 够 在 同一 网 站 内 记录 用 户 的 登录 信息 。 当 用 户 在 网 站 登录 后 ， 
网 站 就 可 以 将 他 的 登录 信息 记录 在 Session 或 Cookie 中 ,用 户 再 浏览 网 站 中 其 他 网 页 时 
都 不 会 要 求 他 再 登录 ,如果 能 在 不 同 网 站 之 间 传 递 Session 或 Cookie 信息 , 则 理论 上 它 
们 也 能 够 应 用 于 单 点 登录 方案 中 ,微软 公司 的 PassPort 的 单 点 登录 系统 就 采用 了 Cookie 
机 制 。 


554 ”Kerberos 认证 协议 


Kerberos 认证 协议 是 由 美国 麻 省 理工 学 院 (MIT) 开 发 的 网 络 认证 协议 ,其 名 称 是 根 
据 希 腊 神话 中 一 只 守卫 冥王 大 门 的 三 头 看 门 狗 而 命名 的 。 而 现在 “三 头 ? 意 指 Kerberos 
是 有 3 个 组 成 部 分 的 “网 络 之 门 守护 者 ”, 即 认证 .统计 和 审计 。 

Kerberos 协议 采用 基于 对 称 密码 算法 的 认证 机 制 来 实现 通过 可 信 第 三 方 提供 的 认 
证 服务 , 它 可 以 实现 通信 双方 的 双向 身份 认证 。 
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基于 对 称 密码 体制 鉴别 的 思想 是 : 声称 者 和 验证 者 共享 一 个 验证 密 钥 ,声称 者 使 用 
该 密 钥 加 密 某 一 消息 ,如 果 验 证 者 能 成 功 解密 消息 , 则 验证 者 相信 消息 来 自 声称 者 。 这 
时 加 密 的 消息 中 必须 包含 一 个 非 重复 值 ,以 对 抗 重 放 攻 击 。 或 者 采用 挑战 -应 答 机 制 , 验 
证 者 首先 给 声称 者 发 送 一 非 重 复 值 的 消息 ,要 求 声称 者 用 密 钥 加 密 。 


1. Kerberos 协议 的 主要 特点 


(1) 采用 对 称 密码 体制 ,而 未 采用 公 钥 密码 体制 ,Kerberos 与 网 络 上 的 每 个 实体 (用 
户 和 应 用 服务 器 ) 共 享 一 个 不 同 的 对 称 密 钥 ,是 否 知道 该 密 钥 便 是 身份 的 证 明 。 

(2) 为 客户 机 /服务 器 应 用 程序 提供 身份 认证 服务 ,而 不 能 被 浏览 器 /服务 器 程序 
采用 。 

(3) 具有 可 伸缩 性 ,能够 支持 大 数量 的 用 户 和 服务 器 进行 双向 认证 。 


2. Kerberos 协议 的 设计 思路 


假设 在 一 个 开放 网 络 环境 中 有 很 多 台 服 务 器 ,它们 提供 各 种 各 样 的 服务 (如 Web 服 
务 FTP 服务 .E-mail 服务 等 ), 用 户 要 访问 这 些 服务 器 , 则 要 记 住 所 有 服务 器 的 用 户 名 和 
口令 。 如 果 服 务 器 非常 多 (比如 说 100 台 ) ,那么 如 此 多 的 口令 是 很 难 记 住 的 (而 且 也 不 
推荐 用 户 对 所 有 服务 器 设置 同一 口令 ,那样 安全 性 非常 低 ) ,并 且 每 访问 一 台 服 务 器 ,用 
户 要 输入 一 次 ID 和 口令 ,非常 麻烦 。 

为 了 解决 这 个 问题 ,可 设置 一 台 认 证 服务 器 (Authentication Server, AS) ,将 所 有 用 
户口 令 存 储 在 AS 的 数据 库 中 。 这 样 ,每 个 用 户 C 


与 AS 共享 了 一 个 用 户口 令 Ke, 作 为 AS 验证 用 " 赎 
户 身份 用 。 只 要 用 户 通 过 了 AS 的 认证 ,AS 就 可 基 训 用 据 。 从 证 服务 避 (RS) 
以 让 用 户 访问 任何 一 台 应 用 服务 器 V 了 。 同 时 SR | 

AS 还 与 每 台 应 用 服务 器 V 也 共享 一 个 对 称 密 钥 | 

Kv, 如 图 5. 36 所 示 。 那 么 用 户 通过 AS 认证 后 ， 一 A 


AS 可 以 把 用 户 要 访问 的 V 的 密 钥 Kv 告诉 用 户 ， 
用 户 发 送 这 个 密 铀 Kv 给 V,V 验证 密 乌 Kv 通过 。 四 
(C) 


后 ,就 能 相信 用 户 是 合法 用 户 ,允许 访问 。 应 用 服务 是) 

但 是 AS 不 能 直接 把 它 与 V 共享 的 密 钥 Kv 图 5. 36 Kerberos 共享 密 钥 初步 方案 
发 送 给 用 户 ,否则 用 户 知道 Ky 后 ,下 次 就 可 以 用 
该 密 钥 直接 去 访问 应 用 服务 器 V ,而 绕 过 认证 服务 器 AS 的 认证 。 

为 此 ,AS 不 是 把 密 钥 Kv 发 给 用 户 ,而 是 用 密 钥 Kv 加 密 用 户 C 的 身份 标识 IDe 等 
信息 形成 一 张 票据 发 送 给 用 户 , 票 据 的 内 容 是 : Ticket 二 Er, (IDe ,ADc,IDv) (其 中 ,IDc 
为 用 户 C 的 标识 ,IDv 为 应 用 服务 器 标识 ,ADc 为 用 户 C 的 网 络 地 址 ) 。 将 IDe 包含 在 票 
据 中 可 以 说 明 该 票据 是 从 用 户 C 发 来 的 ,将 IDv 包含 在 票据 中 ,使 得 服务 器 V 能 验证 它 
是 否 正确 解密 了 该 票据 。 

为 了 防止 票据 被 攻击 者 截获 后 转发 给 V, AS 必须 将 该 票据 加 密 后 再 发 送 给 用 户 。 
由 于 AS 与 用 户 共享 了 口令 Kc, 用 Kc 加 密 票 据 就 可 以 了 。 即 AS-~C: Ex (Ex, (IDe， 
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ADc ,IDv))。 这 样 用 户 必须 知道 口令 Kc 才能 解 开 得 到 票据 ,这 样 做 的 另 一 个 作用 是 ,用 
户 无 须 将 口令 Kc 发 送 给 AS,AS 就 能 验证 用 户 , 因 为 用 户 能 解 开 Kc 加 密 的 票据 就 表明 
用 户 知道 口令 Ke。 

用 户 用 Ex 解密 得 到 票据 后 ,向 应 用 服务 器 V 提出 服务 请 求 。 用 户 C 向 V 发 出 包含 
C 的 IDc 和 票据 的 消息 ,由 V 解密 票据 ,并 验证 票据 里 的 IDc 是 否 与 消息 中 未 加 密 的 ID 
一 致 。 如 果 验 证 通过 , 则 服务 器 认为 该 用 户 真实 ,并 为 其 提供 服务 。 整 个 过 程 如 图 5. 37 
所 示 。 用 户 不 知道 Kv ,因此 不 能 解密 票据 ,也 就 无 法 伪造 票据 。 

整个 步骤 如 下 : 

(1) C— AS; IDc,IDv。 

(2) AS ~ C: Ex (Tickeb 。 

(3) C— V: IDc, Ticket。 

其 中 ,Ticket= Ek, [IDe,ADe,IDv]。 

该 方案 存在 的 一 个 问题 是 攻击 者 可 以 伪造 一 台 认 证 服务 器 AS' ,捕获 用 户 发 往 AS 
的 消息 四 并 将 其 重 定向 到 AS' 。 可 见 AS 必须 向 用 户 证 明 自 己 的 身份 。 为 此 ,将 第 (2) 步 
修改 为 ， 

(2) AS 一 C: Ex. (IDAs, Ticket) 

这 样 就 完全 解决 了 应 用 服务 器 V 认证 用 户 的 问题 ,但 不 能 实现 单 点 登录 。 用 户 每 访 
问 一 次 服务 器 就 要 先 向 AS 申请 一 张 票据 ,然后 用 该 票据 去 访问 服务 器 。 如 果 用 户 每 天 
要 访问 多 次 邮件 服务 器 去 查看 邮件 , 则 每 一 次 都 需要 重新 输入 口令 ,如 果 用 户 要 访问 其 
他 服务 器 同样 也 要 多 次 输入 口令 。 

为 了 解决 这 个 问题 ,引入 票据 许可 服务 器 (Ticket-Granting Server,TGS) ,让 认证 服 
务 器 AS 并 不 直接 向 用 户 发 放 访 问 应 用 服务 器 的 票据 (服务 许可 票据 ) ,而 是 由 TGS 向 用 
户 发 放 。 用 户 在 AS 处 认证 成 功 后 ,AS 发 放 一 张 票据 许可 票据 Ticketrcs 给 用 户 , 票 据 许 
可 票据 相当 于 购 票 许可 证 。 用 户 获 得 票据 许可 票据 后 ,就 可 以 作为 凭证 从 TGS 处 获得 
任意 多 张 服 务 许可 票据 Ticketv ,再 用 服务 许可 票据 访问 V。 实 现 了 用 户 在 AS 处 登录 一 
次 , 便 可 访问 信任 域内 任意 多 台 应 用 服务 器 的 目的 。 引 入 TGS 后 各 方 共享 密 钥 的 关系 


如 图 5. 38 所 示 。 
失 训 对 称 家 Kes 


认证 服务 器 (AS) 认证 服务 器 (AS) ”票据 许可 服务 器 (TGS) 
和 3 人 基部 用户。 共享 对 称 | 
be | 口令 K 密 钥 K、 | 


0 IDe, Ticket 0 
用 户 (C) 应 用 服务 器 (V) 用 户 (C) 应 用 服务 器 (V) 


图 5.37 ”Kerberos 认证 初步 方案 图 5.38 引入 TGS 后 Kerberos 共享 密 钥 方案 
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用 户 访问 V 的 过 程 变 为 : 用 户 首先 向 AS 提交 IDc IDres, AS 发 送 给 用 户 
Ex.(IDres ,Ticketres) ,其 中 Ticketres 一 Ek us[IDc,ADc,IDres], 用 户 解密 后 向 TGS 提 
交 IDe | IDv | Ticketres ,TGS 解 开票 据 验 证 用 户 身份 成 功 后 ,生成 Ticketv 发 给 用 户 ， 
用 户 将 IDe | Ticketv 提交 给 V 就 完成 了 认证 的 过 程 ,如 图 5. 39 所 示 。 

提示 : 用 户 如 果 下 次 需要 访问 其 他 的 应 用 服务 器 V', 就 可 以 直接 向 TGS 提交 IDe | 
IDv | Ticketres ,TGS 返回 Ticketv 给 用 户 ,使 用 户 不 需要 再 次 到 AS 处 去 认证 了 。 


认证 服务 器 (AS) 票据 许可 服务 器 (TGS) 


N 票据 可 能 被 盗用 


IDdlTicketv 
。 国 归 


日 户 (C) 应 用 服务 器 (V) 
5.39 引入 TGS 后 Kerberos 的 认证 方案 


IPc | |Ex (Ticketros) 
IDros 


但 图 5. 39 中 TGS 与 用 户 之 间 没 有 共享 任何 密 钥 ,因此 TGS 无 法 对 发 送 给 用 户 的 
Ticketv 加 密 , 这 导致 攻击 者 可 以 截获 票据 ,然后 将 票据 转发 给 V 以 冒充 用 户 骗取 服务 。 

为 此 ,Kerberos 引入 了 会 话 密 钥 ,由 AS 为 用 户 C 与 TGS 之 间 生 成 一 个 会 话 密 钥 
Kec,ros ,将 这 个 密 钥 与 Ticketrcs 一 起 用 Kc 加 密 后 分 发 给 用 户 , 同 时 将 这 个 密 钥 放 在 
Ticket'rcs 里 分 发 给 TGS (Ticket'res 就 是 包含 Kcres 的 Ticketres ，Ticket'rcs 一 
Eures(Kcres,IDc,ADe,IDres))。 这 里 ,AS 起 到 了 为 用 户 和 TGS 分 发 对 称 密 钥 的 作用 。 
接 下 来 ,TGS 就 可 以 用 Kercs 加密 Ticketv 发 送 给 用 户 C 了 ,用 户 用 Ke,rcs 解 密 得 到 
Ticketv ,该 过 程 如 图 5. 40 所 示 。 


票据 许可 服务 器 (TGS) 


认证 服务 器 (AS) 
IDe, 
IDrcs 
ww 
票据 可 能 被 重用 
用 户 (C) 应 用 服务 器 (V) 
图 5.40 引入 会 话 密 钥 Kc.rcs 后 Kerberos 认证 方案 


Ekc(Ke, tas, TW 
Ticketrcs) 


IDullTicketv 入 


同样 ,用 户 将 Ticketv 发 送 给 V 的 过 程 中 也 可 能 被 截获 进行 重 放 攻 击 ( 或 者 用 户 多 
次 重复 使 用 Ticketv) ,因此 要 将 一 个 C 和 V 共享 的 会 话 密 钥 Kc,v 放 在 该 票据 里 ,使 每 次 
传递 的 票据 都 不 同 ( 因 为 每 访问 一 次 V 都 需要 一 张 不 同 的 Ticketv ) ,该 会 话 密 钥 是 由 
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TGS 来 分 发 给 C 和 V 的 。 改 进 后 的 过 程 如 图 5. 41 所 示 。 


认证 服务 器 (AS) 、( 旬 kK 坟 5 票据 许可 服务 器 (TGS) 
Ex (Kec.ros, 2 
IDc || Tiéketios) 
IDics Ere 
Ticketv( 含 Kc WIExc v[IDclADclITS3] 
ExevCTSs+D) 3 
用 户 (C) 应 用 服务 器 (V) 


5.41 ”Kerberos 认证 模型 的 最 终 方案 


这 样 , 用 户 就 能 使 用 可 重用 的 票据 许可 票据 ,换取 任意 多 张 服务 许可 票据 从 应 用 服 
务 器 中 获得 服务 了 。 但 还 只 有 服务 器 能 认证 用 户 , 无 法 实现 双向 认证 。 注 意 到 ,现在 用 
户 C 与 V 之 间 已 共享 了 一 个 对 称 密 钥 Kc,v, 用 户 可 以 用 Kc,v 加 密 一 个 消息 (Ex [IDe | 
ADc | TS;]) 发 送 给 V,V 如 果 能 解密 该 消息 ,并 发 送 一 个 应 答 给 用 户 , 用 户 就 实现 对 V 
的 认证 (因为 该 密 钥 只 有 C 和 V 知道 )。 图 5. 42 是 完整 的 Kerberos 认证 模型 。 


| 

1 

圈 - 一 Kerberos 
1 数据 库 


| 认证 服务 器 (AS) 票据 许可 服务 器 (TGS)| 


| ne 了 
月 bh 应 用 服务 器 (V) 


5.42 ”Kerberos 认证 模型 


3. Kerberos 认证 过 程 的 简单 描述 


(1) 用 户 向 AS 发 送 用 户 ID .TGS 的 ID ,请 求 一 张 给 该 用 户 使 用 的 票据 许可 票据 。 

(2) AS 发 回 一 张 加 密 过 的 票据 ,加 密 密 钥 是 由 用 户口 令 导出 的 ,因此 用 户 如 果 知 道 
口令 就 可 以 解密 得 到 该 票据 。 当 响应 抵达 客户 端 时 ,要 求 客户 端 用 户 输入 口令 ,并 由 此 
产生 解密 密 钥 ,并 用 该 密 钥 对 加 密 过 的 票据 解密 ( 若 口令 正确 ,票据 就 能 正确 恢复 )。 由 
于 只 有 合法 的 用 户 才能 恢复 该 票据 ,因此 使 用 口令 获得 Kerberos 的 信任 无 须 传递 明文 口 
令 。 另外 ,票据 含有 时 间 惟 和 生存 期 (有 了 时 间 蕉 和 生存 期 ,就 能 说 明 票 据 的 有 效 时 间 长 
度 ) ,主要 是 为 了 防止 攻击 者 的 重 放 攻 击 : 对 手 截获 该 票据 ,并 等 待 用 户 退 出 在 工作 站 的 
登录 (对 手 既 可 以 访问 那个 工作 站 ,也 可 以 将 他 的 工作 站 的 网 络 地 址 设 为 被 攻击 者 的 网 
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络 地 址 ) ,这 样 ,对 手 就 能 重用 截获 的 票据 向 TGS 证 明 。 

(3) 用 户 向 TGS 请 求 一 张 服务 许可 票据 。 

(4) TGS 对 收 到 的 票据 进行 解密 ,通过 检查 TGS 的 ID 是 否 存在 来 验证 解密 是 否 成 
功 ; 然 后 检查 生存 期 ,确保 票据 没有 过 期 ;接着 比较 用 户 的 ID 和 地 址 与 收 到 鉴别 用 户 的 
信息 是 否 一 致 。 如 果 允 许 用 户 访问 V,TGS 就 返回 一 张 访问 请 求 服务 的 服务 许可 票据 。 

(5) 用 户 向 应 用 服务 器 V 请 求 获 得 某 项 服务 。 用 户 向 服务 器 传输 一 个 包含 用 户 ID 
和 服务 许可 票据 的 报 文 ,V 通过 票据 的 内 容 进 行 鉴 别 。 


4. Kerberos 认证 过 程 总 结 


Kerberos 是 采用 共享 对 称 密 钥 的 方式 实现 各 方 之 间 认 证 的 。 总 结 如 下 : 

(1) 在 认证 过 程 中 总 共 使 用 了 5 个 对 称 密 钥 ,分 别 是 Kc、Kres、Kv、Kceres、Kewv, 其 
中 两 个 会 话 密 钥 每 次 都 是 由 AS 或 TGS 临时 生成 的 ,这 样 每 次 使 用 的 密 钥 都 不 同 , 防 止 
了 对 票据 的 重 放 。 

(2) 实际 上 ,Kerberos 为 防止 票据 重 放 , 还 在 传输 的 消息 中 和 票据 中 每 次 都 加 入 了 
时 间 被 。 

(3) 用 户 登 录 后 的 整个 过 程 仅 使 用 一 张 票据 许可 票据 ,而 每 请 求 一 次 服务 需 使 用 一 
张 服务 许可 票据 。 


555 SAM 标准 


SAML 即 安全 断言 标记 语言 ,英文 全 称 是 Security Assertion Markup Language。 它 
是 一 种 基于 XML 语言 的 ,用 于 在 不 同 的 安全 域 (security domain) 之 间 传 输 认证 和 授权 
信息 的 框架 。 它 的 出 现 大 大 简化 了 SSO, 并 被 OASIS (Organization for the 
Advancement of Structured Information Standards ,结构 化 信息 标准 推进 组 织 ) 批 准 为 
SSO 的 执行 标准 。 


1. SAML 解决 的 问题 


传统 的 Web 单 点 登录 系统 主要 存在 着 不 具备 标准 性 、 安 全 性 不 高 .不 能 跨 域 (例如 
跨 网 站 ) 实 施 以 及 实现 流程 复杂 等 问题 。 因 此 ,如 果 没 有 一 个 能 跨 域 传递 符合 通用 标准 
的 安全 令 牌 的 单 点 登录 机 制 , 就 很 难 让 所 有 的 安全 组 件 在 分 布 式 异 构 环 境 中 联合 工作 。 
SAML 标准 是 业界 长 期 以 来 努力 建立 的 联合 身份 认证 的 基础 。 

SAML 主要 是 为 了 解决 跨 域 的 单 点 登录 问题 ,因为 在 自由 的 互联 网 环境 中 ,每 个 网 
站 都 维护 着 一 套 自 己 的 用 户口 令 信息 ,这 些 网 站 不 会 愿意 把 自己 的 用 户 信息 告诉 其 他 机 
构 ,而 且 如 果 让 一 个 机 构 维 护 所 有 网 站 的 用 户口 令 信息 也 是 不 现实 和 不 安全 的 。 为 此 可 
以 让 这 些 网 站 分 别 维护 它们 各 自 的 用 户 数据 库 ,而 通过 交换 它们 之 间 的 认证 信息 来 实现 
联合 认证 ,也 就 是 说 用 户 在 一 家 网 站 通过 认证 后 ,该 网 站 可 以 把 它 对 用 户 的 认证 信息 传 
送 到 其 他 网 站 ,用户 以 后 登录 其 他 网 站 就 不 必 验 证 身份 了 。 

例如 ,用 户 A 通过 了 网 站 A 的 身份 认证 ,网 站 A 就 发 一 张 票据 给 用 户 A, 该 票据 里 
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有 用 户 A 的 身份 IDA 等 信息 。 当 下 次 用 户 A 要 访问 其 他 网 站 (如 网 站 B) 时 ,他 可 以 把 票 
据 提交 给 网 站 BB, 网 站 B 将 票据 发 给 网 站 A 验证 ,并 询问 用 户 A 是 否 已 通过 认证 ,网 站 A 
验证 票据 后 就 向 网 站 B 发 送 以 下 信息 作为 应 答 :“ 用 户 A 已 经 在 我 这 通过 了 认证 ,你 不 
必 再 进行 认证 了 , 它 是 用 户 A”, 网 站 B 如 果 选 择 信任 网 站 A, 用 户 A 就 实现 了 登录 网 站 
B 成 功 。 

为 了 在 这 些 不 同类 的 网 站 之 间 交 换 认 证 信息 ,就 必须 使 认证 信息 有 一 套 标 准 的 格 
式 , 这 样 不 同 的 网 站 才 都 能 识别 ,而 且 这 些 认 证 信息 的 传输 和 交换 必须 考虑 安全 性 。 上 
例 中 网 站 A 发 给 网 站 B 的 认证 信息 必须 是 符合 某 一 标准 的 ,这 样 网 站 B 才能 看 得 懂 该 信 
息 , 而 SAML 就 是 为 这 些 不 同 网 站 之 间 交 换 认 证 信息 制订 的 一 套 统一 的 标准 和 方案 。 

提示 : SAML 只 是 一 个 在 服务 器 之 间 使 用 的 认证 协议 , 它 所 能 做 的 只 是 在 服务 器 之 
间 传 递 诸如 “ 某 个 用 户 已 经 登录 了 ”这 样 的 信息 (断言 ), 因 此 SAML 并 不 是 一 个 完整 的 身 
份 认证 方案 (这 有 别 于 Kerberos),SAML 也 不 是 一 个 认证 权威 机 构 , 它 根本 不 能 对 用 户 
进行 认证 ,只 是 能 传输 认证 信息 。 


2. SAML 中 的 基本 概念 


SAML 认为 认证 信息 是 关于 主体 (subject) 的 一 组 断言 (assertions)。 其 中 的 主体 是 
在 某 一 认证 域 中 有 唯一 标识 的 实体 ,如 用 户 。 例 如 ,主体 可 以 是 在 某 一 特定 时 间 被 某 一 
特定 方法 授权 的 个 人 ,也 可 以 是 在 某 一 环境 下 被 批准 访问 某 类 资源 的 应 用 程序 。 断 言 是 
一 个 载体 ,主要 用 来 携带 有 关 主 体 的 认证 信息 、 属 性 信息 和 授权 决议 信息 。 一 个 断言 可 
以 由 若干 声明 (statements) 组 成 ,声明 可 以 是 关于 主体 的 认证 ,授权 和 属性 等 。 

1) 断言 

断言 由 SAML 权威 (SAML authority) 针 对 主体 发 出 ,其 中 SAML 权威 按 其 功能 又 
可 分 为 认证 权威 .属性 权威 .策略 执行 点 和 策略 决策 点 。 

(1) 认证 权威 (authentication authority) : 根据 用 户 提 供 的 信息 ,结合 凭证 收集 器 提 
供 的 凭证 对 用 户 进行 认证 的 实体 。 

(2) 属性 权威 (attribute authority) : 负责 管理 和 维护 用 户 属性 的 实体 ,同时 向 策略 
决策 点 提供 服务 。 

(3) 策略 执行 点 (Policy Enforcement Point,PEP) : 充当 用 户 尝 试 访问 资源 或 服务 的 
安全 控制 器 , 它 用 来 检测 用 户 是 否 获 得 了 授权 。 

(4) 策略 决策 点 (Policy Decision Point, PDP): 它 向 策略 执行 点 提供 授权 服务 ,作为 
策略 执行 点 是 否 向 用 户 提 供 服 务 的 依据 。 

SAML 框架 的 核心 是 断言 ,断言 是 由 SAML 权威 发 出 的 一 组 数据 ,该 数据 可 以 看 作 
SAML 权威 对 某 个 主体 进行 认证 的 动作 ,或 者 是 关于 某 个 主体 的 属性 信息 ,还 可 以 是 主 
体 为 了 访问 某 个 服务 而 向 权威 发 出 申请 后 得 到 的 授权 决定 。 

在 SAML 规范 中 定义 了 3 种 断言 ,分 别 是 : 

(1) 属性 断言 (attribute assertions): 负责 装载 主体 属性 信息 的 断言 ,如 主体 的 ID、 
地 址 等 信息 。 

(2) 认证 断言 (authentication assertions) : 负责 装载 主体 被 成 功 认 证 信息 的 断言 ,如 
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用 户 A 已 通过 认证 。 

(3) 授权 决定 断言 (authorization decision assertions): 用 来 装载 访问 权限 决定 信息 
的 断言 ,如 授权 用 户 A 访问 除 邮件 服务 以 外 的 所 有 资源 。 

2) 请 求 /响应 协议 

请 求 /响应 协议 (request/response protocols) 规 定 了 两 点 间 共 享 SAML 数据 (断言 ) 
所 需 交 换 的 消息 种 类 和 格式 ,而 两 点 间 的 消息 传输 通过 与 具体 传输 协议 (如 HTTP、 
WAP) 的 绑 定 来 实现 ,由 于 可 以 与 多 种 标准 的 传输 协议 或 XML 消息 交互 框架 相 绑 定 ， 
SAML 具有 良好 的 开放 性 。 

SAML 给 出 两 种 消息 格式 : 请 求 消息 和 响应 消息 。 请 求 消息 中 可 包含 4 种 类 型 的 查 
询 , 分 别 是 主体 查询 ,认证 查询 、 属 性 查询 和 授权 决策 查询 ,分别 对 应 于 不 同 的 声明 。 

3) 绑 定 

绑 定 (bindings) 详 细 描述 了 SAML 的 协议 到 底层 通信 协议 之 间 的 映射 ,如 HTTP 上 
的 SOAP 消息 交换 之 类 的 传输 协议 ,使 SAML 标准 能 够 通过 具体 的 软件 技术 实现 。 

4) 配置 

配置 (profiles) 描 述 了 控制 在 底层 通信 协议 中 做 入 .提取 和 集成 SAML 信息 的 一 组 
规则 。SAML 定义 了 两 个 支持 单 点 登录 的 基于 Web 浏览 器 方式 , 即 Browser/Artifact 
方式 和 Browser/POST 方式 。 

SAML 的 各 部 分 组 成 及 其 关系 如 图 5.43 所 示 。 


配置 
(SAML 协 议 、 绑 定 和 断言 如 何 支持 一 个 特定 的 应 用 ) 


绑 定 
(定义 SAML 请 求 如 何 映射 到 具体 的 消息 交换 传输 协议 ) 
协议 
(处 理 断 言 的 请 求 /应 答 方式 ) 
断言 
(认证 、 属性 和 授权 信息 ) 


5.43 SAML 的 各 部 分 及 其 关系 


3. 使 用 SAML 进行 单 点 登录 的 过 程 


用 户 在 一 个 Web 站 点 (通常 称 为 源 站 点 ) 进 行 认证 并 获得 认证 通过 , 则 该 站 点 为 用 
户 生 成 相应 的 SAML 声明 ,用 以 证 明 该 用 户 已 经 通过 了 认证 ,并 将 一 个 与 此 声明 相关 联 
的 凭证 发 送 给 用 户 , 当 用 户 从 该 站 点 访问 其 伙伴 站 点 ( 称 为 目标 站 点 ) 的 受 保护 资源 时 ， 
该 目标 站 点 根据 用 户 提供 的 凭证 ,与 源 站 点 进行 通信 , 即 可 确定 用 户 的 身份 ,不 需要 再 次 
对 用 户 进行 认证 ,这 个 过 程 如 图 5.44 所 了 示 。 这 里 , 源 站 点 担当 了 用 户 信任 证 书 收集 和 认 
证 授权 的 角色 ,而 目标 站 点 相当 于 策略 执行 点 (PEP) 和 策略 决策 点 (PDP)。 


Subject (主体 ) 
服务 提供 方 SP 
内 (信任 方 ) 
耻 
闭 
服务 提供 方 SP 2 
认证 提供 方 IDP 
(断言 方 ) 


图 5.44 SAML 的 SP 拉 模 式 获取 断言 的 流程 图 


根据 服务 提供 方 SP( 目 标 站 点 ) 与 认证 提供 方 IDP( 源 站 点 ) 之 间 的 交互 方式 ,SAML 
认证 过 程 可 分 为 SP 拉 模 式 和 IDP 推 模式 。 

1) SP 拉 模 式 

在 SP 拉 模 式 中 是 SP(Service Provider) 主动 到 IDP(Identity Provider) 去 了 解 主体 
(Subject) 的 身份 断言 。SP 拉 模 式 的 工作 流程 如 下 : 

(1) 主体 向 IDP 请 求 凭证 (方式 可 以 是 提交 用 户 名 /口令 )。 

(2) IDP( 认 证 提供 方 ) 通 过 验证 主体 提供 的 信息 来 确定 是 否 提 供 凭证 给 主体 。 

(3) 假如 主体 的 验证 信息 正确 ,他 将 获得 由 IDP 提供 的 凭证 ,主体 然后 将 赁 证 和 服 
务 请 求 一 起 提交 给 服务 提供 方 SP, 以 请 求 访问 受 安全 保护 的 资源 。 

(4) SP 接收 到 主体 的 凭证 , 它 在 提供 服务 之 前 必须 验证 此 凭证 。 为 此 ,SP 产生 了 一 
个 SAML 请 求 , 要 求 IDP 对 凭证 断言 ,以 鉴别 凭证 是 否 是 真实 的 。 

(5) 凭证 是 IDP 产生 的 , 它 当 然 知道 凭证 的 内 容 , 于 是 IDP 回应 一 个 SAML 断言 
给 SP。 

(6) SP 信任 IDP 的 SAML 断言 , 它 会 根据 断言 结果 确定 是 否 为 主体 提供 服务 。 如 
果 SAML 断言 和 凭证 的 内 容 一 致 ,就 表明 凭证 是 真实 的 。 

在 SP 拉 模 式 中 ,身份 验证 凭证 由 SP 产生 和 维护 , 仅 在 主体 被 重 定向 到 新 的 目标 站 
点 时 ,目标 站 点 才 获 取 该 令 牌 。 

2) IDP 推 模式 

在 IDP 推 模式 中 ,是 SP 把 授权 凭证 推 给 IDP, 如 图 5. 45 所 示 , 该 模型 的 登录 流程 
如 下 : 

(1) 主体 登录 到 源 站 点 (IDP) 进 行 身份 认证 。 

(2) 若 主体 通过 了 认证 , 则 源 站 点 向 目标 站 点 (SP) 请 求 SAML 授权 令 牌 。 
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(3) 目标 站 点 根据 源 站 点 提供 的 用 户 信息 为 该 用 户 提供 SAML 授权 令 牌 。 

(4) 源 站 点 接收 到 目标 站 点 生成 的 SAML 授权 令 牌 后 将 其 转发 给 主体 。 

(5) 主体 使 用 授权 令 牌 向 目标 站 点 请 求 受 安全 保护 的 资源 。 

(6) 目标 站 点 收 到 主体 发 送 过 来 的 SAML 授权 令 牌 后 为 主体 提供 资源 。 
在 推 模式 中 ,SP 生成 并 维护 授权 令 牌 ,而 IDP 则 将 使 用 该 令 牌 将 主体 重 定向 到 SP。 


而 @@ 服 务 请 求 + 任 证 


< 6) 响 应 请 求 


Subject (主体 ) 
村 服务 提供 方 SP 
局 (信任 方 ) 
坚 

服务 提供 方 SP 2 
认证 提供 方 IDP (信任 方 ) 


(断言 方 ) 
5.45 SAML 的 IDP 推 模式 获取 断言 的 流程 图 


可 见 IDP 推 模 式 是 IDP 主动 把 用 户 的 身份 断言 告诉 SP。 

两 种 方式 各 有 优点 ,IDP 推 模式 可 减少 SP 与 IDP 的 交互 ,节省 带宽 ;而 SP 拉 方 式 安 
全 性 更 高 。SP 实时 查询 IDP, 可 确保 断言 的 时 效 性 。 另 外 SP 查询 过 用 户 凭证 后 ,IDP 即 
删除 用 户 赁 证 与 断言 的 对 应 关系 ,可 防止 重 放 攻击 。 对 于 安全 性 要 求 较 高 的 系统 而 言 ， 
SP 拉 方 式 更 为 合适 。 


4. SAML 的 安全 机 制 


SAML 定义 了 一 个 XML 签名 (XML signature) 元 素 以 标识 认证 中 心 。 该 元 素 可 以 
包含 一 个 带 有 公 钥 、 到 期 日 和 使 用 策略 的 X. 509 证 书 。XML 签名 还 包含 签名 值 本 身 , 签 
名 值 是 由 认证 中 心 为 元 素 内 容 生 成 的 。 可 以 使 用 X. 509 证 书 中 权威 机 构 的 公 钥 信息 来 
验证 签名 ,这 样 能 够 保证 信息 的 安全 性 有效 性 和 完整 性 。 

重 放 攻 击 可 用 于 造成 数据 完整 性 问题 以 及 拒绝 服务 攻击 。SAML 提供 了 避免 重 放 
攻击 的 保护 。SAML 要 求 在 传输 断言 和 消息 时 使 用 SSL 加 密 , 以 专门 防止 断言 被 拦截 。 
此 外 ,SAML 提供 了 数字 签名 机 制 ,该 机 制 使 断言 具有 有 效 时 间 范 围 ,以 防止 断言 以 后 被 
重播 。 

SAML 使 用 IP 地 址 以 避免 DNS 欺骗 ,使 用 安全 超 文 本 传输 协议 (HTTPS) 和 SSL/ 
TLS 以 消除 HTTP 链接 攻击 。 


忆 是 
1. 确定 用 户 的 身份 称 为 ys 
A. 身份 认证 B. 访问 控制 C. 授权 D. 审计 
2. 下 列 技术 中 ( ) 不 能 对 付 重 放 攻击 。 
A. 线路 加 密 B. 一 次 性 口令 机 制 
C. 挑战 -应 答 机 制 D. 往 认证 消息 中 添加 随机 数 


3. 有些 网 站 的 用 户 登录 界面 要 求 用 户 输入 用 户 名 、 密 码 的 同时 ,还 要 输入 系统 随机 
产生 的 验证 码 , 这 是 为 了 对 付 ( Xs 
A. 窃听 攻击 B. 危及 验证 者 的 攻击 
C. 选择 明文 攻击 D. 重 放 攻击 
4. 关于 SAML 协议 ,以 下 说 法 错误 的 是 ( Ns 
A. SAML 不 是 一 个 完整 的 身份 认证 协议 
B. SAML 协议 主要 用 来 传递 用 户 的 认证 信息 
C. SAML 是 一 个 认证 权威 机 构 
D. SAML 协议 定义 了 一 套 交 换 认 证 信息 的 标准 


5. Kerberos 实现 单 点 登录 的 关键 是 引入 了 ,实现 双向 认证 的 关键 是 引入 
了 
6. 认证 主要 包括 和 两 种 。 
7. 口令 机 制 面 临 的 威胁 包括 线路 窃听 、 和 重 放 攻 击 。 
8. 把 传统 的 数字 签名 和 公 钥 加 密 两 个 功能 合并 到 一 个 步骤 中 完成 。 
9. Kerberos 认证 系统 中 ,客户 要 使 用 其 提供 的 任何 一 项 服务 ,必须 依次 获取 
票据 和 票据 。 


10. 对 于 机 密 性 、 完 整 性 、 真 实 性 、 抗 抵赖 性 和 可 用 性 5 种 安全 需求 ,通过 密码 技术 不 
能 提供 的 安全 需求 是 

11. 如 果 认 证 双方 共享 一 个 口令 (验证 密 钥 ), 声 称 者 有 哪 几 种 方法 可 以 让 验证 者 相 
信 他 确实 知道 该 口令 ? 

12. 身份 认证 的 依据 一 般 有 哪些 ? 

13. 在 使 用 口令 机 制 时 ,如 何 对 付 外 部 泄露 和 口令 猜测 ? 

14. 采用 挑战 -应 答 机 制 对 付 重 放 攻 击 ,与 一 般 的 对 付 重 放 攻击 的 方法 相 比 , 优 点 和 
缺点 是 什么 ? 


第 6 将 Gaefer 记 
数字 证 书 和 PKI 


网 络 时 代 初 期 流传 着 这 样 一 句 话 : 你 根本 不 知道 在 网 络 男 一 端 跟 你 对 话 的 是 不 是 一 
只 狗 。 这 很 好 地 反映 了 许多 网 络 用 户 面 临 的 问题 : 如 何 确 认 对 方 身份 ”而 数字 证 书 正好 
是 在 Internet 上 标志 网 络 用 户 身份 的 绝 佳 工具 。 

在 现实 世界 中 存在 着 这 样 一 类 信息 ,它们 虽然 不 需要 保密 ,但 需要 保证 其 真实 性 。 
例如 ,银行 的 客服 电话 号 码 ( 如 建行 的 95533) ,虽然 它 是 不 需要 保密 的 ,但 必须 保证 它 的 
真实 性 ,如 果 犯 罪 分 子 在 ATM 机 上 贴 一 张 小 纸 条 宣称 一 个 虚假 的 号 码 是 银行 客服 的 号 
码 就 会 破坏 这 种 信息 的 真实 性 , 带 来 危险 的 后 果 , 因 此 必须 采取 措施 防止 这 种 情况 的 

公 钥 也 是 如 此 , 公 钥 的 分 发 虽然 不 需要 保密 ,但 需要 采用 一 种 手段 来 保证 它 的 真实 
性 。 例 如 ,Alice 以 前 和 Bob 没有 任何 意义 上 的 接触 ,虽然 Alice 能 在 一 个 公开 的 地 方 查 
到 Bob 的 公 钥 ,但 她 如 何 确 信 她 找到 的 公 钥 的 确 是 Bob 的 呢 ? 如 果 攻 击 者 Eve 将 自己 的 
公 钥 公开 ,并 谎 称 是 Bob 的 ,那么 之 后 Eve 就 能 以 Bob 的 名 义 执行 签名 或 解密 等 各 种 操 
作 了 ,可 见 确保 能 够 正确 获得 Bob 的 公 钥 是 何等 重要 ! 本 章 介绍 的 数字 证 书 和 公 钥 基础 
设施 就 是 为 了 在 公 钥 的 分 发 过 程 中 保证 公 钥 真实 性 的 手段 。 


61 数字 和 亚 书 


数字 证 书 的 概念 是 Kohnfelder 于 1978 年 提出 的 。 所 谓 数字 证 书 , 就 是 公 钥 证 书 , 是 
一 个 包含 有 用 户 身 份 信息 、 用 户 公 钥 以 及 一 个 可 信 第 三 方 认证 机 构 CA 的 数字 签名 的 数 
据 文件 ,其 中 CA 的 数字 签名 可 以 确保 用 户 公 钥 的 真实 性 。 

提示 : 从 形式 上 看 ,数字 证 书 就 是 一 个 小 的 计算 机 文件 。 例 如 ,tang. cer 是 一 个 数字 
证 书 文件 的 文件 名 (其 中 “. cer” 是 证 书 文件 常用 的 扩展 名 , 它 是 certificate 的 缩写 )。 


611 数字 证 书 的 概念 


在 概念 上 ,数字 证 书 和 身份 证 ,护照 或 驾驶 证 之 类 的 证 件 是 很 相似 的 。 身 份 证 可 以 
用 来 证 明 身 份 ,每 个 人 的 身份 证 至 少 可 以 证 明 他 的 这 样 一 些 信息 : 姓名 、 性 别 、 出 生日 期 、 
居住 地 、 照 片 和 身份 证 号 码 等 。 
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:4s 全 应 用 


同样 ,数字 证 书 也 可 以 证 明 一 些 关 键 信息 , 它 主要 可 以 证 明 用 户 与 其 持 有 的 公 钥 之 
间 的 关联 性 ,图 6.1 显示 了 数字 证 书 的 这 个 概念 。 这 样 ,通过 证 书 就 能 确信 某 个 公 钥 的 
确 是 某 个 用 户 的 。 

那么 用 户 与 公 钥 之 间 的 关联 是 由 谁 批准 的 呢 ? 显然 ,要 有 一 个 机 构 是 各 方 都 信任 
的 。 假 设 身 份 证 不 是 由 公安 局 签发 的 ,而 是 由 某 个 小 店 发 的 ,别人 还 会 相信 它 吗 ?同样 ， 
数字 证 书 也 要 由 某 个 可 信任 的 实体 签发 ,否则 很 难 让 人 相信 。 签 发 数字 证 书 的 这 个 可 信 
任 实体 叫 作 CA 认证 中 心 。 图 6. 2 显示 了 某 用 户 的 一 个 数字 证 书 。 


数字 证 书 数字 证 书 
我 以 官方 名 义 正式 主体 名 : tang 
批准 该 证 书 持 有 者 公 钥 : tang 的 公 钥 
= 文 个 序列 号 : 1069102 
等 发 机 构 : Alipay.com CA 
有 效 起 始 日 期 : 2010 年 7 月 7 日 
某 某 CA 认证 中 心 有 效 终止 日 期 : 2011 年 7 月 7 日 
该 CA 的 数字 签名 某 某 CA 认证 中 心 
有 该 CA 的 数字 签名 
图 6.1 数字 证 书 的 直观 概念 图 6.2 数字 证 书 的 示例 


在 这 个 示例 中 ,用 户 的 姓名 显示 为 主体 名 (subject name) ,这 是 因为 数字 证 书 不 仅 可 
以 颁发 给 个 人 ,还 可 以 颁发 给 组 织 或 网 站 等 一 切实 体 。 每 个 数字 证 书 中 都 有 一 个 序列 号 
(serial number) ,这 可 以 给 CA 在 必要 时 检索 或 撤销 该 证 书 提供 方便 。 证书 中 还 有 一 些 
其 他 信息 ,如 证 书 的 有 效 期 和 签发 者 名 (issuer name)。 可 以 把 这 些 信息 和 身份 证 中 的 项 
目 做 一 个 比较 ,如 表 6. 1 所 示 。 


表 6.1 数字 证 书 和 身份 证 的 比较 


数字 证 书 项 目 身份 证 项 目 数字 证 书 项 目 身份 证 项 目 
主体 名 姓名 签发 机 构 发 证 机 构 
序列 号 身份 证 号 公 角 照片 
相同 起 始 日 期 数字 签名 签 章 
相同 终止 日 期 


可 以 看 出 ,数字 证 书 和 身份 证 很 相似 ,每 个 身份 证 都 有 一 个 身份 证 号 ,而 数字 证 书 则 
有 一 个 唯一 的 序列 号 ,对 于 同一 个 签发 者 签发 的 数字 证 书 是 不 会 有 重 号 的 。 唯 一 不 同 的 
是 ,对 数字 证 书 真 伪 的 验证 完全 依赖 于 CA 的 数字 签名 信息 ,而 对 身份 证 真 伪 的 验证 除了 
依赖 签 章 外 还 依赖 其 他 的 防伪 措施 。 


612 数字 证 书 的 原理 
数字 证 书 的 作用 是 建立 主体 与 其 公 钥 之 间 的 关联 , 即 证 明 某 个 特定 公 钥 属于 某 个 主 
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体 。 那么 它 是 如 何 建 立 主 体 与 其 公 钥 之 间 的 这 种 关联 性 的 呢 ? 只 要 理解 了 数字 证 书 的 
生成 过 程 就 能 回答 该 问题 。 


1. 数字 证 书 的 生成 过 程 


数字 证 书 是 一 个 由 使 用 数字 证 书 的 用 户 群 所 公认 和 信任 的 权威 机 构 (CA) 签 署 了 其 
数字 签名 的 信息 集合 。 主 体 将 其 身份 信息 和 公 钥 以 安全 的 方式 提交 给 CA 认证 中 心 ,CA 
用 自己 的 私 钥 对 主体 的 公 钥 和 身份 信息 等 的 混合 体 进 行 签名 ,将 签名 信息 附 在 公 钥 和 主 
体 名 等 信息 后 ,这 样 就 生成 了 一 张 证 书 , 它 主要 由 公 钥 .主体 名 和 CA 的 签名 3 部 分 组 成 ， 
如 图 6. 3 所 示 。 最 后 CA 负责 将 证 书 发 布 到 相应 的 目录 服务 器 上 , 供 其 他 用 户 查询 和 
获取 。 


数字 证 书 CA 的 私 钥 


主体 身份 信息 
体 公 钥 值 “人 :一 


认证 机 构 名 


CA 的 数字 签名 值 


图 6.3 ”证书 的 生成 原理 


由 于 主体 的 身份 信息 和 主体 的 公 钥 被 捆绑 在 一 起 ,被 CA 用 其 私 钥 计 算数 字 签 名 ， 
CA 的 私 钥 除 了 CA 外 其 他 人 都 不 知道 ,因此 任何 人 (CA 除外 ) 都 无 法 修改 主体 的 身份 信 
息 和 公 钥 值 的 捆绑 体 ,否则 验证 者 用 CA 的 公 钥 验证 CA 对 证 书 的 签名 后 会 发 现 其 中 的 
散 列 值 和 证 书 的 散 列 值 不 一 致 。 这 样 ,数字 证 书 就 建立 了 主体 与 公 钥 之 间 的 关联 。 

提示 : 数字 证 书 除了 可 以 将 公 负 与 主体 绑 定 在 一 起 外 ,还 可 以 将 主体 的 菜 些 属性 (如 
职业 、 访 问 权限 ) 与 主体 绑 定 在 一 起 ,只 要 将 证 书 中 主体 的 公 铀 值 替换 成 主体 的 这 些 属 性 
值 就 可 以 了 ,这 时 的 数字 证 书 就 称 为 属性 证 书 , 它 是 X. 509 v4 中 新 增 的 概念 。 属 性 证 书 
一 般 用 于 保存 用 户 具有 的 访问 权限 ,这 样 就 将 用 户 的 身份 与 他 的 访问 权限 绑 定 在 一 起 。 


2. 数字 证 书 的 特点 


由 此 可 见 ,通过 数字 证 书 , 用 户 只 要 知道 一 个 通信 方 ( 即 CA 认证 中 心 ) 的 公 钥 ,就 可 
以 有 保证 地 获得 其 他 很 多 通信 方 真实 的 公 钥 ,而 且 不 需要 用 户 之 前 和 这 些 通信 方 有 过 任 
阿 意 义 上 的 接触 。 而 CA 的 公 钥 用 户 可 以 在 公开 目录 中 查 到 。 

数字 证 书 可 以 通过 不 需要 提供 安全 性 保护 的 文件 服务 器 ,目录 服务 系统 及 其 他 的 通 
信 协 议 来 分 发 。 这 是 因为 : 

(1) 公 钥 没有 保密 的 需要 ,因此 数字 证 书 中 的 公 钥 也 不 需要 保密 。 

(2) 数字 证 书 具 有 自我 保护 的 功能 , 即 数字 证 书 所 包含 的 CA 的 数字 签名 能 提供 鉴 
别 和 完整 性 保护 。 如 果 数 字 证 书 的 内 容 在 传送 给 用 户 的 过 程 中 被 攻击 者 算 改 了 , 持 有 
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CA 公 钥 (证 书 ) 的 用 户 能 够 检测 到 这 种 更 改 ,因为 其 中 的 数字 签名 将 被 验证 出 来 是 不 正 
确 的 。 

提示 : 用 户 证 书 除了 能 放 在 目录 中 以 供 他 人 访问 外 ,还 可 以 由 用 户 直接 发 给 其 他 用 
户 ,用 户 BB 得 到 用 户 A 的 证 书 并 验证 后 ,可 相信 证 书 中 A 的 公 负 确实 是 A 的 。 

3. 数字 证 书 的 有 效 期 

为 了 安全 起 见 , 密 钥 是 有 生命 期 的 ,这 意味 着 用 户 的 某 个 公 钥 / 私 钥 对 也 是 不 可 以 永 
远 用 下 去 的 。 对 于 一 个 好 的 密码 系统 来 说 ,其 设计 原则 就 是 要 求 密 钥 对 的 生命 期 是 有 限 
的 ,以 此 来 减少 密码 被 破译 的 机 会 ,并 抑制 发 生 泄漏 的 可 能 性 。 而 数字 证 书 中 存放 有 公 
钥 , 因 此 数字 证 书 也 是 有 生命 期 的 ,需要 对 它 进 行 有 效 期 的 检验 。 

实际 上 ,数字 证 书 在 生成 时 就 有 一 个 预定 的 有 效 期 ,包括 起 始 和 终止 的 日 期 和 时 间 。 


613 数字 证 书 的 生成 步骤 


生成 数字 证 书 需要 以 下 几 个 步骤 : 生成 密 钥 对 ,提交 用 户 信息 和 公 钥 进行 注册 ,RA 
验证 用 户 信息 和 私 钥 ,生成 证 书 。 整 个 过 程 如 图 6.4 所 示 。 


CA 的 公 钥 


4 一 


A 的 私 钥 
“|e 
私 钥 书 | | 

用 户 的 计算 机 


CA 的 计算 机 


图 6.4 证 书 的 生成 步骤 


1. 密 钥 对 的 生成 


用 户 可 以 使 用 某 种 软件 随机 生成 一 对 公 钥 / 私 钥 对 ,这 个 软件 通常 是 Web 浏览 器 或 
Web 服务 器 的 一 部 分 ,也 可 以 使 用 特殊 的 软件 程序 ,也 就 是 说 像 Web 浏览 器 这 些 软件 内 
置 了 生成 密 钥 对 的 功能 。 

提示 : 注册 机 构 RA 也 可 以 为 用 户 生成 密 钥 对 ,这 种 方法 对 一 些 像 智能 卡 那样 的 密 
钥 对 持 有 系统 是 很 有 必要 的 ,因为 这 类 系统 处 理 能 力 有 限 , 无 法 安装 密 钥 对 生成 软件 生 
成 密 钥 对 。 但 这 种 方法 的 缺点 是 注册 机 构 知 道 用 户 的 私 钥 , 而 且 注册 机 构 将 私 钥 发 给 用 
户 的 途中 可 能 会 被 攻击 者 窃取 。 


2. 提交 用 户 信息 和 公 钥 
用 户 将 生成 的 私 钥 保 密 , 然 后 把 身份 证 明 、 公 和 钥 和 其 他 信息 (如 E-mail 等 ) 发 送 给 证 
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书 注册 机 构 RA。 为 了 防止 信息 在 发 送 的 途中 被 截获 并 算 改 ,通常 使 用 CA 的 公 钥 将 这 
些 信息 加 密 再 发 送 。 


3. RA 验证 用 户 信息 和 私 钥 


注册 机 构 要 对 用 户 提交 的 信息 进行 验证 。 

首先 ,RA 要 验证 用 户 的 身份 信息 是 否 合法 并 有 资格 申请 证 书 , 如 果 用 户 已 经 在 该 
CA 申请 过 证 书 了 , 则 不 允许 重复 申请 。 

其 次 ,必须 检查 用 户 持 有 证 书 请 求 中 公 钥 所 对 应 的 私 钥 ,这 样 可 表明 该 公 钥 确实 是 
用 户 的 。RA 可 以 使 用 下 列 方法 之 一 进行 这 个 检查 : 

(1) RA 要 求 用 户 用 私 钥 对 其 提交 的 信息 进行 数字 签名 ,如 果 RA 能 用 这 个 用 户 的 
公 钥 验证 签名 , 则 可 以 相信 这 个 用 户 拥有 该 私 钥 。 

(2) RA 也 可 以 生成 随机 数 挑战 .用 用 户 的 公 钥 加 密 , 将 加 密 挑 战 发 给 用 户 , 如 果 用 
户 能 用 私 钥 解 密 , 则 可 以 相信 这 个 用 户 拥 有 该 私 钥 。 

(3) RA 可 以 对 用 户 生 成 一 个 哑 证 书 ,把 证 书 用 这 个 用 户 的 公 钥 加 密 ,将 其 发 给 用 
户 , 用 户 要 想 取 得 明文 证 书 必须 用 其 私 钥 解 密 。 


4. CA 生成 证 书 


如 果 证 书 的 申请 请 求 被 批准 ,CA 就 把 证 书 请 求 转化 为 证 书 , 主 要 工作 是 用 CA 的 私 
钥 对 证 书 进 行 签名 。CA 生成 证 书后 ,可 以 将 证 书 的 一 个 副本 传送 给 用 户 , 同 时 把 证 书 存 
储 到 目录 服务 器 (证 书库 ) 中 ,以 便 公布 证 书 ,公众 通过 访问 目录 服务 器 就 能 查询 和 获取 
CA 颁发 的 证 书 。 另 外 ,CA 还 会 将 数字 证 书生 成 及 发 放 过 程 的 细节 记录 在 审计 日 志 中 。 


614 数字 证 书 的 验证 过 程 
1. 为 何 信任 数字 证 书 


我 们 信任 数字 证 书 并 不 是 因为 它 包 含 用 户 的 某 些 信息 (特别 是 公 钥 ) ,因为 数字 证 书 
只 不 过 是 一 个 计算 机 文件 ,任何 人 都 可 以 用 任何 公 钥 生成 一 个 数字 证 书 文件 ,并 在 业务 
中 使 用 这 个 证 书 。 

想象 一 下 ,在 生活 中 ,我 们 信任 某 个 证 书 ( 如 身份 证 ) ,无 非 是 因为 它 满足 两 个 条 件 : 

(1) 证 书 必须 是 真实 的 ,而 没有 被 自 改 或 伪造 。 如 果 一 个 证 书 经 验证 发 现 是 伪造 的 ， 
我 们 肯定 不 会 信任 它 了 。 

(2) 颁发 证 书 的 机 构 必 须 是 某 个 可 以 信任 的 权威 机 构 , 如 果 一 家 小 店 颁发 身份 证 , 即 
使 这 个 证 书 是 真实 的 (确实 是 该 小 店 颁发 的 ) ,我 们 也 不 会 信任 它 。 

同样 ,如 果 数 字 证 书 满足 上 述 两 个 条 件 , 即 证 书 是 真实 的 ,而 且 颁 发 证 书 的 机 构 是 可 
以 信任 的 ,我 们 就 信任 它 。 验 证 数字 证 书 是 否 可 信和 就 是 验证 它 是 否 满足 这 两 个 条 件 。 其 
中 ,验证 证 书 的 真 伪 可 以 通过 验证 证 书 中 CA 的 数字 签名 来 进行 ,而 验证 颁发 该 证 书 的 机 
构 CA 是 否 可 信和 需要 检查 CA 的 信任 链 来 实现 。 

这 样 ,一 个 可 信任 的 CA 用 它 的 私 钥 签 名 了 某 个 数字 证 书 , 就 表示 “我 已 经 对 这 个 证 
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书 进 行 了 签名 ,保证 这 个 公 钥 是 指定 用 户 的 ,请 相信 我 ”。 
2. 数字 证 书 的 验证 过 程 


数字 证 书 的 验证 和 普通 证 书 类 似 , 验 证 数字 证 书 的 过 程 也 分 两 步 : 

(1) 验证 该 数字 证 书 是 否 是 真实 有 效 的 。 

由 于 CA 用 其 私 钥 对 证 书 进行 了 签名 ,因此 ,可 以 用 CA 的 公 钥 解密 证 书 的 签名 ,看 
能 否 设 计 证 书 , 如 果 设 计 工 作成 功 , 就 认为 证 书 是 真实 的 ; 接 下 来 检查 证 书 是 否 在 有 效 期 
内 ,是 否 已 经 被 撤销 ,如 果 没 有 被 撤销 并 在 有 效 期 内 , 则 认为 证 书 是 有 效 的 。 

(2) 检查 颁发 该 证 书 的 CA 是 否 可 以 信任 。 

这 一 步 首先 要 假定 验证 者 信任 给 自己 颁发 证 书 的 CA( 因 为 验证 者 主动 在 CA 申请 
了 数字 证 书 , 就 表明 该 CA 肯定 是 他 所 信任 的 。 例 如 , 某 人 申请 了 支付 宝 的 证 书 , 就 可 以 
假定 他 肯定 是 信任 支付 宝 网 站 的 ) ,然后 将 自己 的 CA 作为 信任 锚 点 (信任 起 始点 ) 。 

如 果 验 证 者 收 到 李 四 的 数字 证 书 ,发现 李 四 的 证 书 和 他 的 证 书 是 同一 CA 颁发 的 , 则 
验证 者 可 以 信任 李 四 的 证 书 ,因为 验证 者 信任 自己 的 CA, 而 且 已 经 知道 自己 CA 的 公 
钥 , 可 以 用 该 公 钥 去 验证 李 四 的 证 书 。 

但 是 如 果 李 四 的 数字 证 书 是 另 一 个 CA 颁发 的 ,验证 者 怎么 验证 颁发 李 四 证 书 的 
CA 是 否 可 信 呢 ?这 就 要 通过 验证 该 证 书 的 证 书 链 来 解决 。 证 书 链 也 称 认证 链 , 它 由 最 
终 实 体 证 书 到 根 证 书 的 一 系列 证 书 组 成 ,所 谓 证 书 链 的 验证 ,是 通过 证 书 链 追 溯 到 可 信 
赖 的 CA 的 根 。 因 为 在 同一 个 PKI 体系 (信任 域 ) 中 的 CA 与 CA 之 间 是 互相 关联 的 ,所 
有 CA 组 成 一 个 层次 结构 ,如 图 6.5 所 示 。 


根 CA 
人 EcAAD] 。 人 各 CA(Aa] (cmcAa3) 
Wa Pe 
EmcsBy)] [E 级 CA(B2] . (EcABs) [三 级 CAGB9] 
二 “ ra 碍 作用 
( 张 三 ) (地 四 ) 


图 6.5 证 书 机 构 的 层次 结构 


从 图 6.5 可 以 看 出 ,证书 机 构 层 次 从 根 CA 开始 , 根 CA 下 面 有 一 个 或 多 个 二 级 CA， 
每 个 二 级 CA 下 面 又 有 一 个 或 多 个 三 级 CA, 等 等 。 上 级 CA 颁发 证 书 对 它 的 直接 下 级 
CA 进行 认证 。 例 如 ,我 们 信任 给 自己 颁发 证 书 的 三 级 CA, 就 意味 着 我 们 信任 该 三 级 
CA 的 所 有 上 级 CA 和 根 CA。 就 像 我 们 信任 某 个 区 公安 分 局 (三 级 CA) 颁 发 的 身份 证 ， 
本 质 上 意味 着 我 们 信任 公安 部 ( 根 CA)。 因 此 ,只 要 被 验证 的 证 书 和 验证 者 自己 的 证 书 
有 着 共同 的 根 CA 或 父 级 CA ,那么 验证 者 就 可 以 信任 被 验证 者 的 CA。 

具体 来 说 ,验证 者 可 以 从 李 四 的 证 书 开始 , 逐 级 验证 颁发 该 证 书 的 CA 和 上 级 CA， 
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一 旦 发 现 有 上 级 CA 和 自己 的 上 级 CA 相同 ,就 可 以 信任 李 四 的 CA。 逐 级 验证 证 书 的 
CA 及 其 上 级 CA 的 过 程 是 : 首先 从 被 验证 的 证 书 中 找到 颁发 该 证 书 的 上 级 CA 名 ,通过 
该 CA 名 查找 到 该 CA 的 证 书 ( 因 为 CA 的 证 书 是 公开 的 ,可 以 在 网 上 获取 ), 如 图 6.6 
所 示 。 


用 户 的 证 书 CA 的 证 书 上 级 CA 的 证 书 
E 体 身份 信息 主体 身份 信息 主体 身份 信息 
主体 公 钥 值 主体 公 钥 值 
认证 机 构 名 认证 机 构 名 
上 级 CA 的 签名 上 级 CA 的 签名 上 级 CA 的 签名 
py y 


图 6.6 证 书 的 路 径 


例如 , 张 三 ( 验 证 者 ) 的 CA 在 图 6.5 中 为 Bl1, 李 四 的 CA 为 B9。 显 然 , 张 三 不 能 直接 
知道 B9 的 公 钥 。 为 此 ,除了 自己 的 证 书 外 , 李 四 还 要 向 张 三 发 出 其 CA(B9) 的 证 书 , 即 告 
诉 张 三 B9 的 公 钥 。 这 样 , 张 三 就 可 以 用 B9 的 公 钥 验证 李 四 的 证 书 了 。 

这 样 又 引出 了 另 一 个 问题 , 张 三 怎么 相信 B9 这 个 CA 的 证 书 是 可 以 信任 的 呢 ? 如 
果 李 四 发 一 个 假 证 书 , 而 不 是 B9 的 证 书 呢 ? 因此 , 张 三 还 要 验证 B9 的 证 书 , 而 B9 的 证 
书 是 由 A3 签发 和 签名 的 , 张 三 必须 用 A3 的 公 钥 验证 B9 的 证 书 , 为 此 , 张 三 还 需要 A3 
的 证 书 。 同 样 , 张 三 为 了 信任 A3 ,还 要 对 A3 进行 验证 ,为 此 张 三 需 要 根 CA 的 证 书 , 如 
果 得 到 根 CA 的 证 书 , 则 可 以 成 功 地 验证 A3 的 证 书 。 

如 果 所 有 级 别 的 证 书 验 证 都 通过 ,就 可 以 断定 李 四 的 证 书 确实 是 从 根 CA 一 级 一 级 
认证 下 来 的 ,从 而 是 可 信和 的 。 这 是 因为 : 

(1) 用 户 的 证 书 验证 通过 就 表明 该 证 书 是 真实 可 信和 的 ,前 提 是 颁发 该 证 书 的 CA 
可 信 。 

(2) 一 个 CA 的 证 书 验证 通过 就 表明 该 CA 是 合法 可 信 的 ,前 提 是 它 的 上 级 CA 可 信 。 

因此 ,在 根 CA 可 信 的 前 提 下 ,所 有 CA 的 证 书 和 用 户 的 证 书 验 证 通过 就 意味 着 所 有 
CA 是 合法 可 信 的 ,并 且 用 户 的 证 书 也 是 真实 可 信 的 。 但 是 怎么 验证 根 CA 是 否 可 信 呢 ? 
由 于 根 CA 是 验证 链 中 的 最 后 一 环 , 怎 么 验证 它 的 证 书 ( 即 验证 它 是 否 可 信 )? 谁 给 根 
CA 颁发 证 书 呢 ? 

好 在 这 个 问题 容易 解决 , 根 CA( 有 时 候 甚至 是 二 级 或 三 级 
CA) 能 够 自动 作为 可 信任 CA。 例 如 , 当 用 户 下 载 自己 的 证 书 时 ， 数字 证 书 
该 PKI 机 构 或 网 站 的 根 CA 证 书 在 一 开始 就 下 载 并 安装 到 用 户 一 
的 浏览 器 中 ,而且 用 户 浏览 器 中 还 可 能 有 预 编程 . 硬 编码 的 根 CA 
证 书 ,表示 用 户 无 条 件 地 信任 这 些 根 CA。 根 CA 证 书 是 一 种 自 
签名 (self-signed certificate) 证 书 , 即 根 CA 对 自己 的 证 书签 名 ， 
因此 这 个 证 书 的 颁发 者 名 和 主体 名 都 指向 根 CA ,如 图 6.7 所 示 。 图 6.7 自 签名 证 书 


主体 名 : Root 
颁发 者 名 : Root 
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用 根 CA 证 书 中 的 公 钥 即 可 验证 根 CA 的 证 书 。 

因此 ,证 书 CA 验证 的 目的 是 在 一 个 实体 A 的 公 钥 证 书 ( 信 任 锚 ) 与 一 个 给 定 的 实体 
B 的 公 钥 证 书 ( 即 目标 证 书 ) 之 间 找 到 一 条 完整 的 证 书 路 径 , 并 检查 这 个 路 径 中 的 每 个 证 
书 的 合法 性 和 有 效 性 。 证 书 路 径 验证 即 验证 证 书 路 径 中 每 个 证 书 的 主体 名 称 与 证 书 公 
钥 之 间 的 安全 捆绑 。 这 个 捆绑 是 由 证 书 中 具体 指定 的 约束 所 限制 的 , 即 通过 证 书签 发 者 
CA 对 证 书签 名 来 实现 捆绑 的 。 

提示 : 经 过 上 述 两 个 步骤 验证 证 书 通过 ,仅仅 表明 证 书 是 真实 有 效 的 ( 即 确定 了 证 书 
中 的 用 户 和 公 铀 之 间 的 关联 性 ) ,但 并 不 能 保证 证 书 是 属于 某 人 的 。 


3. 证 书 的 交叉 认证 


如 果 A 和 B 在 两 个 不 同 的 PKI 信任 域 中 (例如 A 和 B 在 两 个 不 同 的 国家 ) ,他们 的 
证 书 连 根 CA 都 不 相同 , 那 他 们 怎样 验证 对 方 的 证 书 是 否 可 信 呢 ?这 时 就 要 用 到 交叉 认 
证 (cross-certification) 和 交叉 证 书 的 概念 了 。 

为 了 在 以 前 没有 联系 的 两 个 公 钥 架构 之 间 建 立信 任 关系 ,可 以 使 用 交叉 认证 ,交叉 
认证 是 一 种 把 以 前 无 关 的 认证 机 构 联 系 在 一 起 的 机 制 , 它 使 得 在 多 个 认证 机 构 的 各 自 域 
之 间 进 行 安全 通信 成 为 可 能 。 常 见 的 交叉 认证 是 域 间 交 叉 认证 , 即 不 同 域 中 的 两 个 CA 
之 间 进 行 的 交叉 认证 。 

例如 ,A 和 也 的 根 CA 不 同 ( 设 分 别 为 CA1 和 CA2) ,但 是 这 两 个 根 CA 进行 了 交叉 
认证 , 即 A 的 根 CA(CA1) 颁 发 了 一 个 证 书 给 B 的 根 CA(CA2) ,证 明 B 的 根 CA 可 以 信 
任 ; 同 样 B 的 根 CA 也 颁发 了 证 书 给 A 的 根 CA ,证 明 A 的 根 CA 可 信 。 那 么 A 和 B 就 
可 以 相互 信任 对 方 的 证 书 了 。 这 时 用 户 A 能 够 使 用 CA1 的 公 钥 来 验证 CA1 颁发 给 
CA2 的 证 书 , 然 后 他 用 现在 已 经 信任 的 CA2 的 公 钥 来 验证 用 户 B 的 证 书 。 这样, 用户 A 
和 B 的 信任 域 都 能 够 扩展 到 CAl 和 CA2 的 主体 群 。 

交叉 认证 既 可 以 是 单 向 的 ,也 可 以 是 双向 的 。CA1 交叉 认证 了 CA2, 而 CA2 没有 交 
又 认证 CA1 ,就 是 单 向 认证 。 如 果 CA1 认证 了 CA2, 而 且 CA2 也 认证 了 CA1, 就 是 双向 
交叉 认证 。 它 将 产 出 两 个 不 同 的 交叉 证 书 , 如 图 6.8 所 示 , 可 见 交 叉 证 书 是 由 不 在 同一 
个 信任 域 中 的 一 个 CA 颁发 给 另 一 个 CA 的 证 书 , 由 颁发 证 书 的 一 方 CA 用 其 私 钥 签 名 。 
双向 交叉 认证 更 为 常见 ,例如 ,在 想 使 安全 通信 成 为 可 能 的 企业 之 间 就 采用 双向 交叉 
认证 。 


CA1 的 目录 实体 CA2 的 目录 实体 

正 向 交叉 证 书 正 向 交叉 证 书 
-主体 =CA1 -主体 =CA2 
-颁发 者 -CA2 -颁发 者 -CA1 


图 6.8 CA1l1 和 CA2 之 间 交 叉 证 书 的 实例 


提示 : 如 果 两 个 证 书 的 根 CA 不 相同 ,并 且 它 们 的 根 CA 之 间 也 没有 进行 任何 形式 
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的 交叉 认证 , 即 这 两 个 根 CA 之 间 没 有 任何 联系 ,在 这 种 情况 下 双方 是 无 法 认证 对 方 证 书 
的 有 效 性 的 ,这 时 只 能 由 用 户主 观 选择 是 否 信任 对 方 的 证 书 。 在 我 国 , 由 于 PKI 体 系 建 
设 不 完善 ,目前 还 没有 一 家 权威 的 全 国 性 的 认证 机 构 (CA) ,各 个 企业 通常 自己 建设 根 
CA 来 为 自己 的 产品 和 用 户 服务 ,这 些 企业 的 CA 与 CA 之 间 是 无 法 相互 认证 的 。 在 PKI 
体系 建设 完善 的 发 达 国家 , 则 通常 存在 一 家 全 国 性 的 根 CA。 


615 数字 证 书 的 内 容 和 格式 


为 了 保证 各 个 CA 所 签发 的 证 书 具 有 通用 性 ,证 书 必须 要 具有 标准 的 内 容 和 格式 。 
目前 数字 证 书 的 格式 一 般 遵循 ITU 的 X. 509 v3 标准 。 
基本 的 数字 证 书 格式 如 图 6.9 所 示 , 它 包含 如 下 内 容 。 


X.509 格 式 证 书 


版 本 号 CA 的 私 钥 


证 书 序列 和 = 


签名 、 算 法 标识 符 
证 书 颁发 者 
有 效 其 散 列 > 生成 数字 签名 


主体 

主体 的 公 算法 标识 符 

钥 信息 公 钥 值 
CA 的 数字 签名 值 


6.9 基本 数字 证 书 的 格式 (vl 版 ) 


(1) 版 本 号 : 代表 数字 证 书 的 版 本 格式 是 X. 509 标准 的 哪个 版 本 ,目前 一 般 是 v3。 

(2) 证 书 序列 号 : 由 认证 机 构 发 放 的 代表 该 数字 证 书 的 唯一 标识 号 。 

(3) 签名 算法 : 认证 机 构 对 数字 证 书 进行 签名 所 使 用 的 数字 签名 算法 , 例如 
shalRSA, 表 示 使 用 SHA-1 散 列 算法 求 得 证 书 的 消息 摘要 ,再 使 用 RSA 算法 对 摘要 
签名 。 

(4) 证 书 颁发 者 : 颁发 该 数字 证 书 的 CA 的 区 别名 (distinguished name), 即 不 同 的 
CA 该 名 称 是 不 同 的 。 

(5) 有 效 期 : 数字 证 书 的 有 效 起 始 和 终止 的 日 期 和 时 间 。 

(6) 主体 : 与 相应 的 被 验证 公 钥 所 对 应 的 私 钥 持 有 者 的 X. 500 名 称 , 即 该 数字 证 书 
的 持 有 者 名 。 

(7) 主体 的 公 钥 信息 : 主体 的 公 钥 值 以 及 该 公 钥 被 使 用 时 所 用 的 算法 标识 符 。 

(8) 证 书 发 放 者 唯一 标识 符 : 如 果 有 两 个 或 多 个 CA 使 用 相同 的 发 放 者 名 称 标识 
CA 时 ,该 标识 符 使 CA 的 X. 500 名 称 不 具有 二 义 性 。 这 是 一 个 可 选项 ,vl 版 本 没有 。 

(9) 主体 的 唯一 标识 符 : 当 不 同 实体 具有 同样 的 名 称 时 ,利用 该 标识 符 可 使 主体 的 
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X. 500 名 称 不 具有 二 义 性 。 这 是 一 个 可 选项 ,vl 版 本 没有 。 

如 果 电 脑 中 安装 有 数字 证 书 , 则 在 下 浏览 器 中 可 以 查看 证 书 ,选择 菜单 项 “工具 ”一 
“Internet 选项 ”在 “内 容 ” 选 项 卡 中 单 击 “ 证 书 ” 就 可 以 查看 当前 证 书 列表 ,双击 其 中 的 
某 个 证 书 , 在 “详细 信息 ”选项 卡 中 可 以 查看 证 书 的 格式 ,如 图 6. 10 所 示 ( 其 中 ,“ 微 缩 图 ” 
就 是 颁发 者 对 证 书 的 签名 信息 )。 


00 e0 27 c8 a3 Tc 38 27... 
shalRSA 

Alipay. com Corporation ... 
2012 年 2 月 26 日 14:04:55 
2014 年 2 月 25 日 14:04:55 


malipay, Alipay. com Co... | 
RSA (1024 Bits) 

KeyID=c8 ba 4f la 4b 0d .. 
Subject Type=End Entity... 
Digital Signature，Data . . 
shal 

£4 42 54 ab b6 e3 69 ae... 


图 6.10 证 书 的 详细 信息 


616 数字 证 书 的 类 型 


各 种 数字 证 书 的 状态 和 成 本 是 不 同 的 ,根据 要 求 而 变 。 例 如 ,用 户 的 数字 证 书 可 能 
只 用 于 加 密 消 息 , 而 不 用 于 签名 消息 。 相 反 , 商 家 建立 联机 购物 网 站 时 则 可 能 用 高 价 数 
字 证 书 , 涉 及 许多 功能 。 根 据 证 书 的 用 途 分 类 ,数字 证 书包 括 以 下 几 种 类 型 。 


1. 客户 端 (个 人 ) 数 字 证 书 


个 人 数字 证 书 是 用 户 使 用 此 证 书 来 向 对 方 表明 个 人 身份 的 证 明 , 同 时 应 用 系统 也 可 
以 通过 证 书 获得 用 户 的 其 他 信息 。 目 前 主流 的 浏览 器 和 电子 邮件 客户 端 软件 (如 
Outlook、Foxmail 等 ) 都 支持 个 人 数字 证 书 。 浏览 器 使 用 数字 证 书 主要 是 让 服务 器 能 够 
对 浏览 器 (客户 端 ) 进 行 认证 。 


2. 服务 器 证 书 ( 站 点 证 书 ) 


服务 器 证 书 主要 颁发 给 Web 站 点 或 其 他 需要 安全 鉴别 的 服务 器 ,用 于 证 明 服 务 器 
的 身份 信息 。 服 务 器 数字 证 书 支持 目前 主流 的 Web 服务 器 ,例如 IIS、Apache 等 ,可 存放 
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于 服务 器 硬盘 或 加 密 硬件 设备 上 ,服务 器 证 书 主要 是 让 客户 端 可 以 鉴别 服务 器 的 真实 
性 。 由 于 滥用 服务 器 证 书 可 能 造成 严重 损失 (比如 假 网 站 冒充 合法 网 站 ), 因 此 签发 这 类 
证 书 要 认真 调查 商家 的 身份 。 


3. 安全 邮件 证 书 


安全 邮件 证 书 结合 使 用 数字 证 书 和 S/MIME 技术 ,对 普通 电子 邮件 做 加 密 和 数字 签 
名 处 理 , 确 保 电子 邮件 内 容 的 安全 性 、 机 密 性 、 发 件 人 身份 的 真实 性 和 不 可 抵赖 性 。 


4 代码 签名 证 书 


代码 签名 证 书 为 软件 开发 商 提供 对 软件 代码 做 数字 签名 的 技术 ,可 以 有 效 防止 软件 
代码 被 算 改 ,使 用 后 免 遭 病毒 和 黑客 程序 的 侵扰 ,同时 可 以 保护 软件 开发 商 的 版 权利 益 ， 
又 称 为 开发 者 证 书 。 

当然 ,有 时 一 张 数 字 证 书 是 可 以 同时 应 用 于 以 上 几 种 用 途 的 ,也 可 以 自己 设置 某 张 
数字 证 书 的 用 途 ,选择 某 张 证 书 , 单 击 “ 高 级 ”按钮 就 可 打开 如 图 6. 11 所 示 的 “高 级 选项 ” 


图 6.11 “高 级 选项 ”对 话 框 


62 数字 征 书 的 功能 


数字 证 书 的 功能 可 分 为 两 大 类 ,其 一 是 起 到 安全 分 发 公 钥 的 作用 ,其 二 是 作为 主体 
的 身份 证 明 。 
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621 数字 证 书 用 于 加 密 和 签名 


由 于 数字 证 书 可 以 用 来 分 发 公 钥 ,因此 可 以 利用 证 书 中 的 公 钥 和 其 对 应 的 私 钥 进行 
加 密 和 签名 。 其 主要 步骤 和 公 钥 密码 体制 中 的 加 密 和 签名 方法 类 似 。 


1. 使 用 证 书 进行 加 密 


如 果 甲 方 要 向 乙方 传送 加 密 的 信息 ,并 且 甲 乙 双 方 都 有 自己 的 数字 证 书 , 则 传送 过 
程 如 下 : 

(1) 甲 方 准备 好 要 传送 给 乙方 的 信息 (明文 ) 。 

(2) 甲 获取 乙 的 数字 证 书 , 并 验证 该 证 书 有 效 后 ,用 乙方 证 书 中 的 公 钥 加 密 信 息 
(《 密 文 )。 

(3) 乙方 收 到 加 密 的 信息 后 ,用 自己 证 书 对 应 的 私 钥 解 密 密 文 ,得 到 明文 信息 。 

当然 ,如 果 明 文 数据 量 很 大 ,可 以 结合 数字 信封 的 方式 来 加 密 , 即 甲 方 只 用 公 钥 来 加 
密 一 个 对 称 密 钥 ,再 用 对 称 密 钥 加 密 明 文 信息 。 


2. 使 用 证 书 进行 签名 


(1) 甲 方 准备 好 要 传送 给 乙方 的 信息 (明文 ) 。 

(2) 甲 对 该 信息 进行 散 列 运算 ,得 到 一 个 消息 摘要 。 

(3) 甲 用 自己 证 书 对 应 的 私 钥 对 消息 摘要 进行 加 密 得 到 甲 的 数字 签名 ,并 将 其 附 在 
信息 后 。 

(4) 甲 方 将 附带 有 数字 签名 的 信息 传送 给 乙方 (同时 也 可 以 把 自己 的 数字 证 书 一 起 
发 给 乙方 )。 

(5) 乙方 收 到 后 ,对 甲 方 的 数字 证 书 进行 验证 ,如 果 有 效 ,就 用 甲 方 证 书 中 的 公 钥 解 
密 数 字 签 名 ,得 到 一 个 消息 摘要 ,再 对 明文 信息 求 消息 摘要 。 将 这 两 个 消息 摘要 进行 对 
比 , 如 果 相同 ,就 确信 甲 方 的 数字 签名 有 效 。 


3. 使 用 证 书 同时 进行 签名 和 加 密 


(1) 甲 方 准备 好 要 传送 给 乙方 的 信息 (明文 ) 。 

(2) 甲 对 该 信息 进行 散 列 运算 ,得 到 一 个 消息 摘要 。 

(3) 甲 用 自己 证 书 对 应 的 私 钥 对 消息 摘要 进行 加 密 得 到 甲 的 数字 签名 ,并 将 其 附 在 
信息 后 。 

(4) 甲 获取 乙 的 数字 证 书 , 并 验证 该 证 书 有 效 后 ,用 乙方 证 书 中 的 公 钥 加 密 信息 和 签 
名 的 混合 体 。 

(5) 乙方 收 到 加 密 的 数据 后 ,用 自己 的 证 书 对 应 的 私 钥 解 密 密 文 ,得 到 信息 和 数字 签 
名 的 混合 体 。 

(6) 乙方 获取 甲 方 的 数字 证 书 , 并 验证 该 证 书 有 效 后 ,就 用 甲 方 证 书 中 的 公 钥 解密 数 
字 签 名 ,得 到 一 个 消息 摘要 ,再 对 明文 信息 求 消息 摘要 ,将 这 两 个 消息 摘要 进行 对 比 , 如 
果 相 同 , 就 确信 甲 方 的 数字 签名 有 效 。 
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注意 : 
(1) 从 这 里 可 以 看 出 ,虽然 数字 证 书 里 只 包含 了 公 铀 ,但 数字 证 书 必 须 有 与 其 对 应 的 
私 钥 配合 ,才能 实现 证 书 的 各 种 功能 。 因 此 ,证 书 所 


有 者 的 电脑 里 必定 同时 保存 了 数字 证 书 和 该 证 书 对 一 
应 的 私 钥 。 数 字 证 书 和 私 钥 的 关系 有 点 像 锁 和 铀 是 允 记 锁 
的 关系 ,如 图 6.12 所 示 。 虽 然 锁 里 面 没有 包含 钥匙 ， —— | 
但 是 锁 肯 定 是 配 有 钥匙 的 , 锁 必 须 和 钥匙 配合 使 用 ， 私 钥 外 是 
一 把 没有 了 钥匙 的 锁 是 没有 任何 用 处 的 。 证 书 所 有 者 的 电脑 

(2) 如 果 锁 是 某 个 用 户 的 ,那么 他 必定 拥有 该 锁 图 6.12 证 书 和 私 钥 都 保存 在 证 书 
对 应 的 钥 是 。 同 样 , 如 果 某 个 数字 证 书 是 某 用 户 的 ， 所 有 者 的 电脑 里 


那么 他 一 定 拥有 该 证 书 对 应 的 私 铀 。 
622 利用 数字 证 书 进行 身份 认证 


在 学 校 里 ,监考 老师 验证 考生 身份 的 过 程 通常 分 为 两 步 进行 : 

第 一 步 , 验 证 考生 的 证 件 是 否 是 真实 的 。 

第 二 步 ,如 果 证 件 是 真实 的 ,再 验证 该 证 件 是 否 是 考生 本 人 的 (如 通过 比 对 容貌 ) , 防 
止 假 人 用 真 证 。 

利用 数字 证 书 进行 身份 认证 的 思路 和 监考 老师 验证 考生 身份 的 过 程 很 相似 。 即 首 
先 验 证 申请 者 的 证 书 是 否 真实 有 效 ,然后 再 验证 申请 者 是 否 是 该 证 书 的 拥有 者 (这 可 以 
通过 验证 申请 者 是 否 拥 有 该 证 书 对 应 的 私 钥 实现 )。 


1. 数字 证 书 进行 身份 认证 的 基本 步骤 


如 果 申 请 者 ( 甲 方 ) 要 向 验证 者 (乙方 ) 表 明 自 己 的 身份 ,并 且 甲 方 有 一 个 数字 证 书 ， 
则 验证 过 程 如 下 : 

(1) 甲 方 产生 一 条 数据 消息 M( 该 消息 有 固定 的 格式 ), 并 用 自己 的 证 书 对 应 的 私 钥 
加 密 该 消息 ,得 到 密 文 Esx、(M) , 即 签名 数据 (signData) 。 

(2) 甲 方 将 自己 的 证 书 和 密 文 Esk、(CM) 发 送 给 乙方 。 

(3) 乙方 收 到 后 ,首先 验证 证 书 的 真 伪 及 有 效 性 ,验证 过 程 包括 用 颁发 该 证 书 的 CA 
的 公 钥 验证 证 书 的 签名 ,再 验证 证 书 链 有效期 等 ,如 前 所 述 。 

(4) 证 书 验证 通过 后 ,乙方 用 甲 方 证 书 中 的 公 钥 解密 密 文 Esk, (MD) ,如 果 解 密 成 功 ， 
则 表明 甲 方 拥有 该 证 书 对 应 的 私 钥 ,是 该 证 书 的 拥有 者 ,身份 验证 通过 。 另 外 ,还 表明 这 
条 密 文 没有 被 算 改 过 ,实现 了 完整 性 保护 。 

提示 : 数字 证 书 不 仅 实现 了 用 户 身份 和 用 户 的 公 钥 的 绑 定 ,实际 上 还 将 用 户 身份 和 
数字 证 书 绑 定 在 了 一 起 (这 是 为 什么 能 用 数字 证 书 进行 身份 认证 的 原因 )。 因 为 数字 证 
书 中 的 主体 身份 信息 被 CA 用 私 钥 签 名 ,任何 人 都 不 能 更 改 证 书 中 的 主体 身份 信息 ,因此 
如 果 某 人 能 证 明 这 张 证 书 是 他 的 ,就 能 将 证 书 作 为 其 身份 证 明 。 
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2. X. 509 单 向 身份 认证 协议 


上 述 验 证 过 程 实现 了 用 数字 证 书 进行 身份 认证 ,但 不 能 抵抗 重 放 攻 击 ,攻击 者 可 以 
截获 消息 Esk、 CM) ,过 一 会 再 重 放 给 验证 者 。 为 了 对 抗 重 放 攻 击 , 甲 方 产生 的 一 条 数据 
消息 中 应 该 有 一 个 时 间 戳 和 一 个 随机 数 ra 以 及 乙方 的 身份 标识 B, 如 图 6.9 所 示 。 时 
间 截 保护 报 文生 成 的 时 间 和 过 期 时 间 , 主 要 用 于 防止 报 文 的 延迟 。 随 机 数 rs 用 于 保证 
报 文 的 时 效 性 和 检测 重 放 攻击 , 它 在 报 文 有 效 期 内 必须 是 唯一 的 ,如 果 验 证 者 收 到 的 报 
文中 的 随机 数 与 以 前 收 到 的 随机 数 是 相同 的 ,就 认为 该 报 文 是 重 放 消 息 ,乙方 的 身份 标 
识 B 用 于 防止 攻击 者 截获 甲 方 发 送 给 其 他 方 的 认证 消息 ,再 转发 给 乙 , 即 防止 第 三 方 重 
放 。( 男 外 ,图 6.13 中 的 Eru, (Kas) 用 于 向 乙方 传递 一 个 会 话 密 钥 Kns ,这 是 可 选 的 )。 
这 种 方式 就 称 为 X. 509 单 向 认证 。 


(en) Afi rvB, signData, Ey (Kn)} -en) 


图 6.13 X.509 的 单 向 认证 的 过 程 


3. 双向 身份 认证 


双向 身份 认证 需要 甲乙 双方 相互 鉴别 对 方 的 身份 。 除 了 完成 单 向 验证 的 步骤 外 , 双 
向 验证 还 包括 以 下 步骤 : 

(1) 乙 产 生 另 一 个 随机 数 rp。 

(2) 乙 构造 一 条 消息 ,并 用 自己 的 证 书 对 应 的 私 钥 加 密 该 消息 ,得 到 密 文 Ds (Ms); 
乙方 将 自己 的 证 书 和 该 密 文 发 送 给 甲 方 。 

(3) 甲 方 收 到 后 ,首先 验证 证 书 的 真 伪 及 有 效 性 。 

(4) 证 书 验 证 通过 后 , 甲 方 用 乙方 中 的 公 钥 解密 密 文 De (Me) ,如 果 解 密 成 功 , 则 表 
明 乙方 拥有 该 证 书 对 应 的 私 钥 , 是 该 证 书 的 拥有 者 ,身份 验证 通过 。 


4. 三 向 认证 


三 向 认证 主要 用 于 A、B 之 间 没 有 时 间 同 步 的 场合 ,如 图 6. 14 所 示 。 三 向 认证 中 需 
要 一 个 最 后 从 A 发 送 到 B 的 报 文 ,其 中 包含 A 对 随机 数 rs 的 签名 。 其 目的 是 在 不 用 检 
查 时间 截 的 情况 下 也 能 检测 重 放 攻 击 。 两 个 随机 数 >* 和 rs 均 被 返回 给 生成 者 ,每 一 端 
都 用 它 来 检查 重 放 攻 击 。 
(DA{t ,rsB, signData, 无。 Kan)} 


(2)BftayravdrwsignData, Eo, (Ks)} 


KUA 


乙方 
(3)4{r,} 
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5. 利用 数字 证 书 进行 身份 认证 的 特点 


既然 身份 认证 可 以 通过 口令 (共享 秘密 ) 等 方式 实现 。 那 为 什么 还 需要 利用 数字 证 
书 来 进行 身份 认证 呢 ? 这 是 因为 通过 共享 秘密 的 方式 只 能 在 小 范围 内 实现 认证 ,因为 你 
不 可 能 同时 和 很 多 人 共享 秘密 ,而 且 与 你 共享 秘密 的 人 必须 在 以 前 与 你 有 过 某 种 意义 上 
的 接触 ,否则 你 们 怎么 能 够 共享 秘密 呢 ? 

而 通过 数字 证 书 则 能 够 实现 大 范围 的 身份 认证 ,而 且 不 要 求 曾经 和 认证 方 有 过 接 
触 , 只 要 某 人 持 有 数字 证 书 , 就 能 够 让 所 有 以 前 与 他 从 未 有 过 接触 的 实体 认证 他 ,这 就 像 
我 们 持 有 身份 证 可 以 在 全 国 范围 内 得 到 身份 认证 一 样 。 从 根本 上 说 ,数字 证 书 是 一 种 基 
于 用 户 拥有 某 种 物品 的 身份 认证 方式 ,但 这 种 物品 是 一 种 虚拟 的 物品 (数字 证 书 )。 表 6. 2 
对 两 种 身份 认证 机 制 的 特点 进行 了 比较 。 


表 6.2 口令 机 制 (或 共享 密 钥 ) 和 数字 证 书 两 种 身份 认证 机 制 的 比较 


身份 认证 机 制 口令 机 制 (或 共享 密 钥 ) 数字 证 书 
认证 的 依据 用 户 所 知道 的 某 种 信息 用 户 所 拥有 的 某 种 物品 
实施 认证 的 条 件 认证 双方 之 前 必须 有 过 接触 不 需要 任何 意义 上 的 接触 
所 能 获得 认证 的 范围 小 范围 大 范围 


63 公 铀 基础 设 冰 


公 钥 基础 设施 (Public Key Infrastructure) 简称 PKI。 所 谓 PKI 就 是 一 个 以 公 钥 技 
术 为 基础 提供 和 实施 安全 服务 的 具有 普 适 性 的 安全 基础 设施 。 

什么 是 基础 设施 呢 ? 基础 设施 就 是 在 某 个 大 环境 下 提供 普遍 适用 的 系统 和 准则 。 
例如 电力 系统 , 它 是 一 个 提供 电力 服务 的 基础 设施 , 它 能 提供 电灯 .电视 机 、. 电 冰箱 等 电 
器 都 普遍 适用 的 电能 ,因此 可 以 把 某 个 电器 看 成 是 这 个 基础 设施 的 一 个 具体 应 用 。 又 如 
交通 基础 设施 , 它 提 供 了 各 种 交通 工具 都 普遍 适用 的 交通 环境 。 基 础 设施 应 具有 以 下 
特性 : 

(1) 具有 易于 使 用 、 众 所 周知 的 接口 或 界面 ,如 电力 设施 的 接口 就 是 电源 插座 。 

(2) 基础 设施 提供 的 服务 可 以 预测 并 且 有 效 。 

(3) 应 用 设备 无 须 了 解 基 础 设施 的 工作 原理 ,如 电器 无 须 考虑 电力 是 如 何 产 生 的 。 

PKI 是 一 种 提供 信息 安全 服务 的 基础 设施 , 旨 在 从 技术 上 解决 网 上 身份 认证 ,信息 
的 完整 性 和 不 可 抵赖 性 等 安全 问题 ,为 诸如 电子 商务 、 电 子 政 务 、 网 上 银行 和 网 上 证 券 等 
各 种 具体 应 用 提供 可 靠 的 安全 服务 的 基础 设施 。 

从 实现 上 来 看 ,PKI 是 以 公 钥 密码 体制 为 理论 基础 ,以 CA 认证 机 构 为 核心 ,以 数字 
证 书 为 媒介 来 提供 安全 服务 功能 的 。 其 主要 目的 是 通过 自动 管理 证 书 和 密 钥 ,为 用 户 建 
立 一 个 安全 、 可 信 的 网 络 运 行 环境 ,使 用 户 可 以 在 多 种 应 用 环境 下 方便 地 使 用 加 密 和 数 
字 签 名 技术 ,在 Internet 上 验证 用 户 的 身份 ,从 而 提供 机 密 性 ,完整 性 和 不 可 否认 性 服 
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uss sin 


务 。 并 且 这 些 安全 服务 对 用 户 是 完全 透明 的 。 
631 PN 的 组 成 和 部 署 


PKI 在 实际 应 用 中 是 一 套 软 硬件 系统 和 安全 策略 的 集合 , 它 提供 了 一 套 安全 机 制 。 
使 用 户 在 不 知道 对 方 身份 或 分 布地 很 广 的 情况 下 ,以 数字 证 书 为 基础 ,通过 一 系列 的 信 
任 关系 来 实现 信息 的 保密 性 、 完 整 性 和 不 可 否认 性 。 

一 个 典型 的 PKI 系统 包括 PKI 策略 、 软 硬件 系统 、 认 证 机 构 CA 证 书 /CRL 库 ,证书 
撤销 处 理 系 统 、 密 钥 备 份 及 恢复 系统 和 应 用 程序 接口 等 几 个 部 分 组 成 ,如 图 6. 15 所 示 。 


6.15 ”PKI 的 基本 组 成 


1. PKI 策略 


建立 和 运行 一 个 PKI 体系 是 需要 一 套 PKI 策略 的 。 如 CA 可 以 为 哪些 人 颁发 证 书 ， 
颁发 证 书 的 流程 是 怎样 的 ,这 都 需要 一 套 策略 来 指导 。PKI 策略 是 一 个 包含 如 何在 实践 
中 增强 和 支持 安全 策略 的 一 些 操作 过 程 的 详细 文档 , 它 建立 和 定义 了 一 个 组 织 信 息 安全 
方面 的 指导 方针 ,同时 也 定义 了 密码 系统 使 用 的 处 理 方 法 和 原则 。 一 般 情况 下 ,在 PKI 
中 有 两 种 类 型 的 策略 : 一 是 证 书 策略 (Certificate Policy,CP) ,用 来 说 明证 书 的 适用 范围 
或 应 用 分 类 ,例如 证 书 策 略 可 以 限定 证 书 的 用 户 群 ,用户 使 用 证 书 的 目的 等 ; 另 一 种 是 认 
证 惯例 声明 (Certificate Practice Statement,CPS) ,CPS 是 一 份 详细 的 文档 , 它 包 括 如 何 
建立 和 执行 CA ,如何 发 行 .接受 和 废除 证 书 , 如 何 生 成 ,注册 和 鉴定 密 钥 , 以 及 如 何 确立 
证 书 的 存放 位 置 和 如 何 让 用 户 使 用 。 

2. 软 硬 件 系统 

软 硬 件 系 统 是 PKI 系 统 运 行 所 需 硬 件 和 软件 的 集合 ,主要 包括 认证 服务 器 、 目 录 
服务 器 .PKI 平 台 、 应 用 程序 接口 .数据 库 等 。 图 6. 16 是 PKI 软 硬件 系统 组 成 的 基础 


框架 。 其 中 ,数据库 用 于 认证 机 构 数据 (如 密 钥 和 用 户 信息 等 ) .日 志和 统计 信息 的 存 
储 和 管理 。 
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下 载 证 书 


国 DAP 目录 服务 器 让 ipiE 书 二 
一 一 一 一 一 终端 实体 
颁发 证 书 Web 服 务 器 
应 用 程序 接口 
CA 服务 器 “| 转发 证 书 申请 日 
RA 服务 器 


图 6.16 PKI 的 基础 框架 


3. 密 钥 备份 与 恢复 系统 


在 一 个 PKI 系统 中 ,维护 密 钥 的 备份 至 关 重 要 ,如 果 没 有 这 种 措施 , 当 密 钥 丢 失 后 ， 
将 意味 着 加 密 数据 也 完全 丢失 。 因 此 ,企业 级 的 PKI 产品 至 少 应 支持 密 钥 的 安全 存储 、 
备份 和 恢复 。 其 功能 包括 : 

(1) 当 用 户 证 书生 成 时 ,用 户 公 和 钥 即 被 PKI 备份 存储 。 

(2) 当 需 要 恢复 密 钥 时 ,用 户 只 需 向 CA 提出 申请 ,PKI 就 会 为 用 户 自动 进行 恢复 。 
但 须 注 意 , 密 钥 备份 与 恢复 系统 只 能 备份 用 户 的 公 钥 ,不 能 备份 私 钥 , 以 保证 私 钥 只 有 用 
户 知道 。 

(3) 归档 密 钥 ,如 当 一 个 公司 的 员工 辞职 时 ,PKI 系 统管 理 员 一 方面 要 使 该 证 书 作 
废 ,使 证 书 中 的 公 钥 无 效 , 另 一 方面 为 了 访问 以 前 被 该 公 钥 加 密 的 文件 等 信息 ,需要 保留 
备份 该 公 钥 。 


4. PKI 应 用 程序 接口 系统 


PKI 的 价值 在 于 使 用 户 能 够 方便 地 使 用 加 密 、 数 字 签 名 、 身 份 认证 等 服务 ,因此 一 个 
完整 的 PKI 必须 提供 良好 的 应 用 程序 接口 ,使 得 各 种 各 样 的 应 用 程序 能 够 以 安全 .一致 、 
可 信 的 方式 与 PKI 系统 进行 交互 ,同时 降低 管理 和 维护 的 成 本 。 

为 了 向 应 用 系统 屏 项 密 钥 和 证 书 管理 的 细节 ,PKI 应 用 程序 接口 应 该 是 跨 平台 的 ， 
并 具有 以 下 功能 : 

(1) 完成 证 书 的 验证 工作 ,为 所 有 应 用 以 一 致 .可 信 的 方式 使 用 公 钥 证 书 提供 支持 。 

(2) 以 安全 、 一 致 的 方式 与 PKI 的 密 钥 备份 与 恢复 系统 交互 ,为 应 用 程序 提供 统一 
的 密 钥 备份 与 恢复 支持 ,向 应 用 提供 历史 密 钥 的 安全 管理 服务 。 

(3) 在 所 有 应 用 系统 中 ,确保 用 户 的 私 钥 始终 只 在 用 户 本 人 的 控制 之 下 ,阻止 备份 私 
钥 的 行为 。 

(4) 根据 安全 策略 自动 为 用 户 更 新 密 钥 ,实现 密 钥 更 新 的 自动 .透明 与 一 致 
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.1 全 应 用 


(5) 为 所 有 用 户 访问 统一 的 公用 证 书库 提供 支持 。 

(6) 能 够 理解 证 书 策略 ,知道 何 时 和 怎样 去 执行 证 书 撤销 操作 。 以 可 信 、 一 致 的 方式 
与 证 书 撤销 处 理 系统 进行 交互 ,向 所 有 应 用 提供 统一 的 证 书 撤销 处 理 服务 。 

(7) 完成 交叉 证 书 的 验证 工作 ,为 所 有 应 用 程序 提供 统一 模式 的 交叉 验证 支持 。 

(8) 接口 系统 支持 多 种 密 钥 存放 介质 ,包括 IC 卡 、 安 全 文件 等 ,并 有 相应 的 防 复制 
技术 。 


5. PKI 的 部 署 


部 署 PKI 时 ,推荐 将 PKI 的 主要 功能 部 件 放 在 各 自分 开 的 系统 中 , 即 CA 放 在 一 台 
主机 中 ,RA 放 在 另 一 台 主 机 中 ,而 目录 服务 器 又 放 在 其 他 系统 中 。 因 为 包含 敏感 数据 ， 
所 以 这 些 系统 都 应 被 放置 在 企业 的 Internet 防火 墙 之 后 。CA 系统 尤为 重要 ,因为 CA 
出 现 一 点 问题 就 可 能 使 整个 PKI 瘫痪 ,从 而 不 得 不 重新 签发 所 有 的 证 书 。 因 此 建议 将 
CA 放 在 专 设 的 防火 墙 之 后 ,这 样 一 来 , 它 就 可 以 得 到 Internet 防火 墙 和 企业 内 的 防火 墙 
的 双重 保护 。 当 然 , 企 业内 的 防火 墙 应 允许 CA 与 RA 及 其 他 系统 之 间 进 行 通信 。 

如 果 不 同 PKI 之 间 想 互相 访问 对 方 的 证 书 , 它 们 的 目录 对 对 方 必须 是 可 用 的 ,但 与 
此 同时 ,目录 服务 器 可 能 包含 对 于 组 织 来 说 比较 敏感 的 数据 ,因为 太 过 敏感 而 不 适合 公 
用 。 为 了 解决 这 个 问题 ,一 般 的 方法 是 创建 一 个 只 包含 公开 密 钥 或 证 书 的 目录 ,并 把 这 
个 目录 放 在 组 织 边 界 上 ,这 个 目录 被 称 为 边界 目录 (border directory)。 该 目录 既 可 以 放 
置 在 企业 防火 墙 之 外 ,也 可 以 放置 在 企业 内 部 网 的 DMZ 区 中 ,这 样 它 既 可 以 公用 ,又 可 
以 被 较 好 地 保护 起 来 而 不 受 攻 击 。 图 6.17 是 PKI 的 物理 拓扑 图 。 


图 6.17 PKI 的 物理 拓扑 图 


企业 内 部 网 内 的 主 目录 服务 器 将 会 定期 以 新 证 书 刷新 边界 目录 或 更 新 现 有 证 书 。 
企业 内 的 用 户 可 以 使 用 主 目录 ,而 其 他 系统 或 组 织 的 用 户 只 能 使 用 边界 目录 。 例 如 , 当 
组 织 A 中 的 用 户 想 向 组 织 B 中 的 用 户 发 送 加 密 电 子 邮 件 时 ,用 户 A 将 从 组 织 B 的 边界 
目录 中 寻找 用 户 B 的 证 书 , 然 后 用 该 证 书 中 的 公 钥 将 电子 邮件 加 密 。 


632 PK 管理 机 构 一 一 CA 


CA 就 是 一 个 负责 发 放 和 管理 数字 证 书 的 权威 机 构 。CA 是 PKI 的 核心 执行 机 构 
是 PKI 的 主要 组 成 实体 。 
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数字 证 书 为 网 上 各 实体 提供 身份 证 明 , 还 能 实现 通信 各 方 信息 的 加 密 和 签名 传输 。 
数字 证 书 具 有 唯一 性 , 它 将 实体 的 公开 密 钥 同 实体 本 身 联系 起 来 。 为 此 ,数字 证 书 的 来 
源 必 须 是 可 靠 的 ,这 就 意味 着 要 有 一 个 网 上 各 方 都 信任 的 机 构 专 门 负责 数字 证 书 的 发 放 
和 管理 ,这 个 机 构 就 是 认证 机 构 CA。 正 是 各 级 认证 机 构 的 存在 组 成 了 整个 电子 商务 的 
信任 链 ,如 果 认 证 机 构 不 安全 或 认证 机 构 发 放 的 数字 证 书 不 具有 权威 性 .公正 性 和 可 信 
赖 性 ,那么 电子 商务 的 安全 就 无 从 谈 起 。 

认证 机 构 CA(Certificate Authority) ,又 叫 作 认证 中 心 ,是 电子 商务 安全 中 的 关键 环 
节 , 也 是 电子 交易 中 信赖 的 基础 。 认 证 机 构 通过 自身 的 注册 审核 体系 ,检查 核实 进行 证 
书 申请 的 用 户 身 份 和 各 项 相关 信息 ,使 参与 网 上 活动 的 用 户 属性 的 客观 真实 性 与 证 书 的 
真实 性 一 致 。 认 证 机 构 作 为 权威 的 .可 信赖 的 .公正 的 第 三 方 机 构 , 类 似 于 现实 生活 中 公 
证 人 的 角色 ,专门 负责 数字 证 书 的 整个 生命 周期 的 管理 ,承担 PKI 公 钥 体系 中 公 钥 合法 
性 检验 的 责任 。 其 作用 包括 发 放 证 书 ,规定 证 书 的 有 效 期 ,通过 发 放 证 书 撤销 列表 
(CRL) 确 保 必要 时 可 以 撤销 证 书 ,以 及 证 书 管理 。 


1. 发 放 证 书 


CA 为 每 个 合法 的 申请 者 发 放 一 张 数 字 证 书 ,数字 证 书 的 作用 就 是 证 明证 书 中 的 用 
户 是 证 书 中 公 钥 的 合法 拥有 者 。CA 的 数字 签名 使 得 攻击 者 不 能 伪造 和 得 改 证 书 , 当 通 
信和 双方 都 信任 同一 个 CA 时 ,双方 就 可 以 安全 地 得 到 对 方 的 公开 密 钥 ,从 而 能 进行 加 / 解 
密 通 信 或 签名 /验证 签名 。 


2. 查询 证 书 


证 书 的 查询 可 分 为 两 类 : 一 是 证 书 申请 的 查询 ,CA 根据 用 户 的 查询 请 求 返回 当前 
用 户 证 书 申请 的 处 理 过 程 ;二 是 用 户 证 书 的 查询 ,这 类 查询 由 目录 服务 器 来 完成 ,目录 服 
务 器 根据 用 户 的 请 求 返回 适当 的 证 书 。 


3. 更 新 证 书 


CA 颁发 的 每 一 个 证 书 都 会 有 有 效 期 ,证 书 的 有 效 期 实际 上 就 是 密 钥 对 的 生存 期 。 
密 钥 对 生命 周期 的 长 短 由 签发 证 书 的 CA 来 确定 ,各 CA 系统 的 证 书 有 效 期 可 有 所 不 同 ， 
一 般 为 2 一 3 年 。 当 用 户 的 私 钥 被 泄露 或 证 书 的 有 效 期 快 到 时 ,用 户 向 CA 提出 申请 ,就 
可 以 产生 新 密 钥 对 ,更 新 证 书 。 


4. 撤销 证 书 


在 数字 证 书 过 期 以 前 ,由 于 某 些 原因 可 能 需要 撤销 数字 证 书 , 以 停止 该 证 书 的 使 用 ， 
常见 的 撤销 证 书 的 原因 如 下 : 

(1) 证 书 持 有 者 报告 说 该 证 书 对 应 的 私 钥 被 破解 了 (如 被 次 了 或 泄漏 了 ) 。 

(2) CA 发 现 签发 数字 证 书 时 有 错误 (如 用 户 提 交 的 资料 错误 或 CA 本 身 出 错 ) 。 

(3) 证 书 持 有 者 辞职 了 ,而 证 书 是 其 在 职 期 间 签发 的 。 

这 时 ,CA 就 要 启动 证 书 撤销 程序 。 首 先 ,CA 要 知道 这 个 证 书 撤销 请 求 , 其 次 ,要 鉴 
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别 证 书 撤销 请 求 的 合法 性 再 判断 是 否 接 受 证 书 撤销 请 求 , 否 则 别人 可 以 滥用 证 书 撤销 请 
求 撤销 属于 别人 的 证 书 。 

1) 证 书 撤销 列表 

撤销 证 书 的 原理 很 简单 。CA 将 已 经 撤销 的 证 书记 录 在 一 张 表 里 ,这 张 表 称 为 证 书 
撤销 列表 (Certificate Revocation List,CRL) ,CRL 又 被 称 为 “证 书 黑 名 单 ”, 由 认证 中 心 
周期 性 地 发 布 ,简单 地 说 ,CRL 由 经 过 认证 中 心 CA 签名 的 所 有 被 撤销 证 书 的 序号 组 成 ， 
CRL 的 完整 性 和 真实 性 由 CA 的 数字 签名 保证 。CA 将 CRL 存 入 证 书库 。 证 书 验 证 者 
定期 查询 和 下 载 CRL ,根据 CRL 是 否 包含 被 查询 证 书 的 序号 来 判断 该 证 书 是 否 有 效 。 
如 果 CRL 中 包含 该 证 书 的 序号 , 则 说 明 该 证 书 已 经 被 撤销 ,被 撤销 的 证 书 将 不 再 值得 
信任 。 

CRL 的 发 布 格式 遵循 CRL v2 标准 ,CRL 里 记录 着 所 有 被 撤销 证 书 的 序号 、 撤 销 时 
间 和 撤销 的 原因 (可 选 ),CRL 的 格式 如 图 6. 18 所 示 。 


CRL (v2 格 式 ) 
版 本 号 签名 算法 CA 的 私 钥 
CA 的 名 称 8 


本 次 签发 时 间 下 次 签发 时 间 签名 


证 书 序号 | 撤销 时 间 ”| 原因 pr 生成 数字 等 名 


证 书 序号 | 撤销 时 间 ”| 原因 


CA 的 签名 值 一 
pV 


6.18 证书 撤销 列表 CRL 的 格式 


每 个 CA 都 可 发 布 自己 的 CRL ,并 对 该 CRL 进行 签名 ,因此 ,CRL 很 容易 验证 真 伪 ， 
CRL 就 是 一 个 顺序 文件 , 随 着 时 间 的 推移 , 它 包括 了 有 效 期 内 因 故 被 撤销 的 所 有 证 书 。 

但 是 ,CRL 机 制 存在 两 个 问题 : 第 一 是 CRL 的 规模 性 。 在 实际 网 络 环境 中 ,CRL 的 
大 小 正比 于 该 CA 所 在 域 的 终端 实体 数 .证 书 有 效 期 以 及 证 书 的 撤销 概率 。 而 撤销 信息 
必须 在 已 颁发 证 书 的 整个 有 效 期 内 都 存在 。 这 就 有 可 能 导致 某 个 CA 的 CRL 变 得 异常 
庞大 。 第 二 是 CRL 的 及 时 性 。CRL 是 周期 性 发 布 的 ,如 每 个 星期 更 新 一 次 ,而 证 书 撤销 
请 求 的 到 达 却 是 随机 的 ,那么 在 这 个 星期 中 某 天 被 撤销 的 证 书 到 被 公布 到 CRL 中 可 能 
存在 几 天 的 延迟 。 导 致 该 证 书 的 状态 出 现 不 一 致 ,这 显然 是 很 危险 的 ,例如 一 个 泄密 了 
私 钥 的 证 书 可 能 在 一 天 内 就 会 造成 巨大 的 破坏 。 这 严重 影响 到 证 书 的 服务 质量 。 

2) 在 线 证 书 状 态 协 议 

为 了 弥补 CRL 及 时 性 差 的 缺陷 ,人 们 设计 了 在 线 证 书 状 态 协议 (Online Certificate 
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Status Protocol,OCSP) , 它 可 以 在 线 及 时 查询 证 书 的 状态 ,包括 证 书 是 否 被 撤销 ,这 在 一 
定 程度 上 弥补 了 CRL 的 不 足 (CRL 是 离线 的 和 定期 更 新 的 ) ,但 它 的 成 本 也 较 高 。 

OCSP 实际 上 是 一 个 简单 的 请 求 /响应 协议 , 它 提供 了 一 种 从 可 信赖 的 第 三 方 (OCSP 
响应 器 ) 那 里 获取 在 线 证 书 撤销 信息 的 手段 。 具 体 过 程 是 : 客户 端 发 送 一 个 证 书 状态 查 
询 请 求 给 OCSP 响应 器 ,并 且 等 待 OCSP 响应 器 返回 一 个 响应 。 返 回 的 响应 包含 OCSP 
的 数字 签名 ,以 保证 是 来 自 OCSP 响应 器 并 且 在 传输 过 程 中 没有 被 算 改 过 。 签 名 密 钥 可 
以 属于 颁发 证 书 的 认证 机 构 、 可 信赖 的 第 三 方 或 者 经 过 认证 机 构 授 权 的 实体 。 在 任何 情 
况 下 ,用 户 必须 信任 响应 ,这 就 意味 着 响应 的 签名 者 被 用 户 信任 。 因 此 ,用 户 必 须 得 到 由 
可 信 方 签发 的 OCSP 响应 器 的 公 钥 证 书 。 另 外 ,OCSP 请 求 也 可 以 被 签名 ,但 这 在 协议 中 
属于 可 选项 。 

图 6. 19 是 OCSP 响应 器 与 客户 端 交互 的 方式 。OCSP 客户 端 向 OCSP 响应 器 发 送 
一 个 证 书 状态 查询 请 求 (一 个 OCSP 请 求 由 协议 版 本 号 、 服 务 请 求 类 型 及 一 个 或 多 个 证 
书 标识 符 组 成 。 证 书 标识 符 的 组 成 包括 证 书 颁 发 者 的 可 识别 散 列 值 .证 书 颁 发 者 公 钥 的 
散 列 值 以 及 证 书 的 序号 等 )。 响 应 器 返回 签名 后 的 证 书 状 态 信息 光正 常 ?表示 该 证 书 仍 
然 有 效 交 撤销 ?表示 该 证 书 已 经 被 撤销 六 未 知 ” 表 示 该 响应 器 无 法 判断 证 书 当 前 状态 。 
如 果 一 个 证 书 的 状态 是 撤销 ,就 需要 标明 证 书 撤销 的 具体 时 间 , 还 可 能 包括 被 撤销 的 原 
因 ( 可 选项 ) 。 


OCSP 请 求 
OCSP 


客户 端 瞩 向 应 
Fe 


| 3 


证 书 列表 


响应 器 信息 源 


图 6.19 OCSP 协议 中 响应 者 与 用 户 的 交互 过 程 


与 CRL 机 制 相 比 ,OCSP 能 够 及 时 地 反映 证 书 状 态 . 但 是 它 仍 然 存 在 一 些 缺 陷 : 

(1) OSCP 没有 规定 收集 证 书 撤销 的 方法 ,因此 ,在 实现 时 仍 需 借助 CRL 来 收集 证 
书 撤销 的 信息 。 

(2) 由 于 OCSP 响应 器 必须 对 每 个 正确 响应 进行 数字 签名 ,因此 , 当 大 量 查询 请 求 同 
时 到 达 时 ,会 严重 降低 系统 的 性 能 。 


5. 证 书 归档 


证 书 具 有 一 定 的 有 效 期 ,证 书 过 了 有 效 期 后 将 作废 。 但 是 不 能 将 作废 的 证 书简 单 地 
删除 丢弃 ,因为 有 时 可 能 还 要 验证 以 前 的 某 个 交易 过 程 中 产生 的 数字 签名 ,这 时 就 需要 
查询 作废 的 证 书 。 基 于 这 个 考虑 ,CA 还 应 具有 管理 作废 证 书 和 作废 私 钥 的 功能 。 
633 注册 机 构 一 一 RA 


由 于 认证 机 构 CA 的 任务 很 多 ,如 签发 新 证 书 、 维 护 旧 证 书 、 撤 销 因 故 无 效 的 证 书 等 ， 


166 全 ssas 全 应 用 


is 理 证 书 申请 的 工作 转交 给 第 三 方 一 一 注册 机 构 (Registration Authority， 

。 作 为 CA 发 放 、 管 理 证 书 的 延伸 ,RA 负责 证 书 申请 者 的 信息 录入 、 审 核 以 及 证 书 
edd 从 技术 上 看 ,RA 是 用 户 与 CA 之 间 的 中 间 实 体 , 帮 助 证 书 机 构 完成 某 些 日 
常 工作 ,如 图 6. 20 所 示 。RA 就 好 比 是 公司 的 前 台 接 待 员 , 由 她 负责 客户 的 业务 申请 ,再 
将 这 些 业 务 申请 转交 给 CA 处 理 完 成 。RA 只 对 唯一 的 CA 负责 ,但 一 个 CA 可 以 拥有 多 


站 到 As 
终端 用 户 
终端 用 户 


6.20 注册 机 构 的 作用 


RA 通常 提供 下 列 服务 : 

。 接收 与 验证 最 终 用 户 的 注册 信息 。 

。 为 最 终 用 户 生 成 密 钥 (可 选 ) 。 

。 接收 与 授权 密 钥 备份 与 恢复 请 求 。 

。 接收 与 授权 证 书 撤销 请 求 。 

在 CA 与 最 终 用 户 之 间 加 上 RA 的 另 一 重要 原因 是 使 CA 成 为 隔离 实体 ,这 样 攻击 
者 不 能 直接 访问 到 CA ,因此 CA 更 不 容易 受到 安全 攻击 。 由 于 最 终 用 户 只 能 通过 RA 
与 证 书 机 构 通 信 , 因 此 可 以 将 RA 与 CA 之 间 的 通信 线路 高 度 保护 起 来 ,例如 将 CA 放置 
在 企业 内 部 网 中 ,将 使 对 这 部 分 连接 很 难 攻击 。 需 要 说 明 的 是 ,RA 是 一 个 可 选 的 机 构 。 


634 证 书 /CR 存储 库 


证 书 /CRL 存储 库 用 于 存储 证 书 和 证 书 撤销 列表 (CRL) ,发 布 证 书 和 CRL 给 终端 实 
体 ,是 网 上 的 一 种 公共 信息 库 , 供 广 大 公众 进行 开放 式 查 询 。 证 书库 通过 证 书目 录 
(certificate directory) 来 提供 证 书 的 存储 管理 和 分 发 , 它 对 应 的 服务 称 为 目录 服务 


(directory services, DS), 
1. 证 书目 录 的 特点 


目录 本 质 上 来 说 就 是 数据 库 , 但 它 与 一 般 的 数据 库 相 比 又 有 区 别 。 主 要 区 别 如 下 : 

(1) 数据 库 中 的 信息 经 常会 发 生变 化 ;相反 .阅读 目录 信息 的 需求 远 远 超过 更 改 目 录 
信息 的 需要 ,所 以 目录 的 变化 较 少 。 

(2) 由 于 目录 本 身 包 含有 数据 , 故 目 录 环 境 与 数据 库 一 样 需要 保证 绝对 的 数据 完整 

性 ,但 目录 可 以 容忍 数据 一 致 性 的 轻微 滞后 。 

(3) 数据 库 通 常 存储 在 单一 的 服务 器 上 ,数据 库 的 副本 一 般 用 于 备份 。 而 目录 支持 
分 布 式 存储 ,目录 通常 被 复制 并 可 在 许多 服务 器 上 获得 ,目录 是 分 散 维护 的 ,每 个 服务 器 
只 负责 本 地 目录 部 分 ,可 以 立即 进行 更 新 和 维护 操作 。 这 意味 着 每 个 目录 复制 品 可 以 接 
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受 微小 的 不 同时 间 段 的 更 新 , 即 目录 能 容忍 数据 一 致 性 的 轻微 滞后 。 
2. 证 书库 的 功能 


常用 的 目录 技术 有 轻型 目录 访问 协议 (Lightweight Directory Access Protocol， 
LDAP)。LDAP 是 在 X. 500 基础 上 开发 的 目录 存 取 协议 ,LDAP 在 目录 模型 上 与 X. 500 
相 兼 容 , 但 比 X. 500 更 简单 ,实施 起 来 更 友好 。LDAP 是 一 种 用 于 存 取 存 储 在 目录 中 的 
信息 (如 数字 证 书信 息 ) 的 有 效 的 标准 协议 。 支 持 LDAP 协议 的 目录 系统 能 够 支持 大 量 
的 用 户 同时 访问 ,对 检索 请 求 有 较 好 的 响应 能 力 , 能 满足 大 规模 和 分 布 式 组 织 请 求 的 要 
求 。 证 书库 提供 的 功能 如 下 : 

(1) 存储 证 书 和 CRL。 证 书库 存储 证 书 并 形成 目录 系统 以 供 查询 。 

(2) 提供 证 书 和 CRL。 根 据 证 书信 任 方 的 请 求 ,证 书库 提供 所 需 证 书 的 副本 。 目 
前 ,很 多 厂商 都 支持 LDAP 协议 ,提供 证 书 查询 。 

(3) 确认 证 书 状态 。 若 证 书信 任 方 已 经 获得 某 人 的 证 书 , 仅 需要 查询 证 书 的 合法 性 
时 ,证 书库 能 提供 简单 的 状态 标记 信息 来 验证 合法 性 ,而 不 是 提供 整个 证 书 的 副本 ,目的 
是 为 了 提高 查询 效率 。 


3. 证 书目 录 项 的 格式 


证 书目 录 通 常 采用 X. 500 目录 格式 。 尽 管 X. 509 数字 证 书 标准 并 没有 限定 只 能 和 
X. 500 目录 系统 一 起 使 用 ,但 在 其 第 一 版 和 第 二 版 的 基本 数字 证 书 格式 中 却 只 能 使 用 
X. 500 名 称 来 确定 主体 和 证 书 发 放 者 的 名 称 。 下 面 对 X. 500 目录 作 一 个 简要 介绍 。 

一 个 X. 500 目录 由 一 系列 目录 项 组 成 。 每 个 目录 项 对 应 现实 世界 中 的 一 个 对 象 ,如 
某 个 人 、 组 织 或 某 个 设备 。X. 500 每 个 对 象 都 有 一 个 无 二 义 性 的 名 称 , 称 为 区 别名 
(distinguished name,DN)。 对 象 的 目录 项 中 包含 了 有 关 该 对 象 的 一 系列 属性 值 。 例 如 ， 
关于 某 人 的 目录 项 可 能 包含 了 其 名 称 .电话 号 码 及 E-mail 等 属性 。 

为 支持 无 二 义 性 命名 的 需要 ,所 有 的 X. 500 目录 项 在 逻辑 上 被 组 织 成 一 种 树 形 结 
构 , 称 为 目录 信息 树 (Directory Information Tree,DIT)。 目 录 信 息 树 有 一 个 概念 上 的 根 
节点 和 数目 不 限 的 非 根 节点 。 除 了 根 节 点 ,所 有 节点 都 属于 其 他 节点 。 除 根 节点 外 ,每 
个 节点 都 对 应 于 一 个 目录 项 ,并 有 一 个 区 别名 。 根 节点 的 区 别名 为 空 。 

一 个 目录 项 的 区 别名 是 由 该 目录 项 在 目录 信息 树 上 的 直接 上 级 项 的 区 别名 和 其 自 
身 的 相对 区 别名 (Relative Distinguished Name, RDN) 联 合 构 成 的 , RDN 用 于 区 分 在 同 
一 目录 项 下 的 各 个 直接 下 级 目录 项 。 

目录 项 的 相对 区 别名 是 关于 该 目录 项 的 一 个 或 多 个 属性 值 的 陈述 。 更 确切 地 说 , 它 
是 一 系列 属性 值 的 申明 ,是 关于 目录 项 的 可 辨别 值 (具有 唯一 性 的 属性 值 ) 的 申明 ,每 一 
个 申明 都 必须 是 真实 的 。 在 实际 中 ,相对 区 别名 是 一 个 属性 值 的 等 式 说 明 ,如 某 人 的 相 
对 区 别名 可 能 是 CN 二 tangsix(CN 代表 Common Name) 。 


635 PK 的 信任 模型 


PKI 用 户 之 间 通 过 CA 和 证 书 建立 起 相互 信任 的 关系 。 然 而 ,在 实际 的 网 络 环境 中 ， 
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一 般 不 可 能 只 有 一 个 CA。 不 同 用 户 的 证 书 可 能 来 自 不 同 的 CA, 而 用 户 并 不 是 都 信任 同 
一 个 CA, 这 就 要 求 在 CA 之 间 以 及 CA 和 用 户 之 间 建 立信 任 关系 ,信任 模型 建立 的 目的 
就 是 确保 一 个 CA 签发 的 证 书 能 被 男 一 个 CA 的 用 户 所 信任 。 

要 实现 CA 之 间 互 相信 任 , 最 可 行 的 办 法 就 是 在 多 个 独立 运行 的 CA 之 间 实 行 交 又 
认证 。 交 叉 认证 是 建立 在 信任 模型 基础 上 的 。 信 任 模型 主要 阐述 以 下 几 个 问题 : 一 个 
PKI 用 户 能 够 信任 的 证 书 是 怎样 被 确定 的 ? 这 种 信任 是 怎样 建立 的 ? 在 一 定 的 环境 下 ， 
这 种 信任 如 何 被 控制 ? 


1. 信任 模型 的 相关 概念 


1) 信任 

如 果 一 个 实体 假定 另 一 个 实体 会 严格 并 准确 地 按照 它 所 期 望 的 那样 行动 ,那么 它 就 
信任 该 实体 。 从 这 个 定义 可 以 看 出 ,信任 涉及 假设 .期 望 和 行为 ,信任 包含 了 双方 的 一 种 
关系 以 及 对 该 关系 的 期 望 ,而 期 望 是 一 个 主观 概念 ,因此 信任 是 主观 的 ,而 且 是 与 风险 相 
联系 的 。 在 PKI 中 ,可 以 把 信任 的 定义 具体 化 为 : 如 果 一 个 用 户 假 定 CA 可 以 把 任 一 公 
钥 确 切 地 绑 定 到 某 个 实体 上 , 则 他 信任 该 CA。 或 者 说 ,如 果 一 个 用 户 相信 和 与 某 一 公 钥 对 
应 的 私 钥 不 仅 正确 ,而 且 有 效 地 被 某 一 特定 的 实体 所 拥有 , 则 用 户 就 可 以 说 该 公 钥 是 可 
信任 的 。 

2) 信任 锚 (trust anchor) 

信任 锚 就 是 PKI 体系 中 的 信任 起 点 。 在 信任 模型 中 , 当 可 以 确定 一 个 实体 身份 或 者 
有 一 个 足够 可 信 的 身份 签发 者 证 明 该 实体 的 身份 时 ,才能 做 出 信任 该 实体 身份 的 决定 ， 
这 个 可 信 的 身份 签发 者 就 是 信任 锚 。 信 任 锚 通 常 是 实体 自身 所 在 的 CA。 

3) 信任 域 (trust domain) 

人 所 处 的 环境 会 影响 他 对 其 他 人 的 信任 程度 。 例 如 ,一 个 人 通常 会 对 组 织 内 的 人 员 
比 对 组 织 外 的 人 员 有 着 更 高 的 信任 水 平 。 在 一 个 组 织 中 ,人 们 对 已 有 的 人 事 关 系 和 运作 
模式 会 给 予 较 高 程度 的 信任 。 如 果 集 体 中 的 所 有 个 体 都 遵循 同样 的 规则 ,那么 称 集体 在 
单 信任 域 中 运作 。 信 任 域 是 指 在 公共 控制 下 或 服从 一 组 公共 策略 的 系统 集 。 策 略 既 可 
以 明确 地 规定 ,也 可 以 在 操作 过 程 中 指定 。 

识别 信任 域 及 其 边界 对 于 构建 公 钥 架构 十 分 重要 ,因为 使 用 其 他 信任 域 中 的 认证 机 
构 签 发 的 证 书 ,通常 比 使 用 同一 个 信任 域 中 的 认证 机 构 签发 的 证 书 要 复杂 得 多 。 

信任 域 简单 来 说 就 是 信任 的 范围 。 识 别 信 任 域 及 其 边界 对 构建 PKI 来 说 很 重要 。 
信任 域 可 以 按照 行业 和 地 理 界 限 来 分 。 例 如 ,我 国 构建 的 CFCA( 国 家 金融 认证 中 心 )、 
CTCA( 中 国电 信 认 证 中 心 )、 海 关 CA 等 都 是 行业 型 CA ,它们 的 信任 域 可 以 包括 整个 
行业 。 

4) 信任 关系 

在 PKI 中 , 当 两 个 认证 机 构 中 的 一 方 给 另 一 方 或 双方 相互 给 对 方 颁发 证 书 时 ,两 者 
之 间 就 建立 了 信任 关系 。 信 任 关 系 可 以 是 双向 的 也 可 以 是 单 向 的 ,多 数 情况 下 采取 双向 
的 形式 , 即 某 实体 信任 另 一 实体 时 , 另 一 实体 也 信任 它 。 
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5) 信任 路 径 (trust path) 

在 一 个 实体 需要 确认 另 一 实体 身份 时 , 它 先 需要 确定 信任 锚 , 再 由 信任 锚 找 出 一 条 
到 达 待 确认 实体 的 各 个 证 书 组 成 的 路 径 ,该 路 径 称 为 信任 路 径 。 信 任 通过 信任 路 径 进行 
传递 。 证 书 用 户 要 找到 一 条 从 证 书 颁 发 者 到 信任 锚 的 路 径 可 能 需要 建立 一 系列 的 信任 
关系 。 


2. PKI 的 信任 模型 


由 于 不 可 能 在 世界 上 建立 一 个 所 有 潜在 用 户 都 共同 信任 的 CA, 因 此 ,在 电子 商务 活 
动 中 必然 存在 很 多 个 CA。CA 之 间 的 结构 关系 ( 即 信任 关系 ) 称 为 信任 模型 。 目 前 常见 
的 信任 模型 有 以 下 几 种 。 

1) 层次 型 信任 模型 

这 是 最 常用 的 一 种 信任 模型 ,在 图 6. 5 中 所 描述 的 信任 模型 就 是 层次 型 信任 模型 。 
该 模型 是 一 棵 翻转 的 树 ,其 中 树 根 代表 根 CA, 它 被 该 PKI 体系 中 的 所 有 实体 所 信任 。 根 
CA 下 存在 多 级 的 子 CA, 根 CA 为 自己 和 直接 下 级 子 CA 颁发 证 书 , 无 下 级 的 CA 称 为 叶 
CA, 叶 CA 为 用 户 颁 发 证 书 。 除根 CA 外 的 其 他 CA 都 由 父 CA 颁发 证 书 。 

这 种 模型 中 的 证 书 链 始 于 根 CA, 并 且 从 根 CA 到 需要 认证 的 终端 用 户 之 间 只 存在 
一 条 路 径 , 在 这 条 路 径 上 的 所 有 证 书 就 构成 了 一 个 证 书 链 。 这 种 模型 结构 清晰 ,便于 全 
局 管理 ,但 对 于 大 范围 内 的 商务 活动 ,难以 建立 一 个 所 有 用 户 都 信任 的 根 CA, 而 且 整 个 
PKI 的 安全 性 都 依赖 于 根 CA ,一 旦 根 CA 的 私 钥 泄露 或 被 破解 ,整个 PKI 体系 将 崩溃 。 

因此 , 根 CA 的 私 钥 必 须 得 到 特殊 的 保护 ,通常 是 让 根 CA 始终 保持 离线 状态 ( 根 CA 
对 其 他 CA 签发 完 证 书 让 PKI 生效 后 )。 这 是 可 行 的 ,因为 根 CA 只 向 其 他 上 级 CA 签发 
数字 证 书 , 其 签发 频率 很 低 。 相 对 而 言 ,其 他 大 多 数 CA 都 是 在 为 最 终 实体 签发 证 书 ,所 
以 签发 的 频率 较 高 ,因而 它们 必须 保持 在 线 状态 。 

2) 网 状 信任 模型 

这 种 模型 中 没有 实体 都 信任 的 根 CA ,终端 用 户 通常 选择 给 自己 颁发 证 书 的 CA 作 
为 根 CA ,各 根 CA 之 间 通 过 交叉 认证 的 方式 相互 颁发 证 书 , 如 图 6. 21 所 示 。 网 状 信任 
模型 比较 灵活 ,便于 建立 特定 的 信任 关系 ,在 有 直接 信任 关系 存在 时 ,验证 速度 快 。 但 信 
任 路 径 复杂 ,而 且 如 果 存在 多 条 证 书 验 证 路 径 , 就 要 考虑 如 何 有 效 选 择 最 短信 任 路 径 的 
问题 。 

3) 桥 信任 模型 

在 交叉 验证 中 ,网 状 信任 模型 的 每 一 个 CA 需要 向 它 信任 的 所 有 CA 逐一 颁发 证 书 ， 
如 果 CA 比较 多 , 则 要 颁发 很 多 证 书 。 桥 信任 模型 也 是 用 来 连接 不 同 的 PKI 体系 ,但 可 
克服 上 述 网 状 模型 的 缺点 。 当 根 CA 很 多 时 ,可 以 指定 一 个 CA 为 不 同 的 根 CA 颁发 证 
书 , 这 个 被 指定 的 CA 称 为 桥 CA, 如 图 6. 22 所 示 。 当 增加 一 个 根 CA 时 ,只 需要 与 桥 
CA 进行 交叉 认证 ,其 他 信任 域 不 需要 改变 。 建立 桥 CA 后 ,其 他 根 CA 仍然 都 是 信任 
锚 , 这 样 允 许 用 户 保留 它们 自己 的 原始 信任 锚 , 桥 CA 为 不 同 的 信任 域 之 间 建 立 对 等 的 信 
任 关 系 。 


锚 CA， 


表示 交叉 认证 一 一 一 一 表示 交叉 认证 
图 6.21 网 状 信任 模型 图 6.22 桥 信 任 模型 


4) Web 信任 模型 

Web 信任 模型 是 在 浏览 器 产品 中 内 置 了 多 个 根 CA 证 书 , 用 户 同时 信任 这 些 根 CA， 
并 把 它们 作为 信任 锚 。 从 本 质 上 看 , Web 信任 模型 属于 树 形 层次 模型 ,浏览 器 厂商 起 到 
了 根 CA 的 作用 。Web 信任 模型 虽然 简单 ,方便 操作 ,但 因为 其 多 个 根 CA 是 预先 安装 
在 浏览 器 中 的 ,用 户 一 般 不 知道 这 些 根 CA 证 书 的 来 源 ,无 法 判断 是 否 都 是 可 信任 的 ,而 
且 没 有 办 法 废除 嵌入 到 浏览 器 中 的 根 证 书 , 一 旦 发 现 某 个 根 密 钥 是 “ 坏 的 ?或 者 与 根 证 书 
对 应 的 私 钥 泄露 了 ,让 全 世界 所 有 浏览 器 用 户 都 有 效 地 废除 那个 密 钥 的 使 用 是 不 太 可 能 
的 。 此 外 ,该 模型 还 缺少 有 效 方法 在 CA 和 用 户 之 间 建 立 合法 协议 。 如 果 出 现 问题 ,所 有 
责任 都 只 能 由 用 户 承担 。 


“636 Pk 的 技术 标准 


PKI 发 展 的 一 个 重要 方面 就 是 标准 化 问题 , 它 是 建立 互 操作 性 的 基础 。 为 了 保证 
PKI 产 品 之 间 的 兼容 性 .人们 开展 了 PKI 的 标准 化 工作 。PKI 标准 一 方面 用 于 定义 
PKI, 男 一 方面 用 于 PKI 的 应 用 。 

目前 ,PKI 的 标准 经 历 了 两 代 发 展 。 第 一 代 标 准 有 两 种 : 一 是 RSA 公司 的 公 钥 加 密 
标准 (Public Key Cryptography Standards,PKCS) ,其 中 包括 证 书 申请 、 证 书 更 新 .证 书 
作废 列表 发 布 .扩展 证 书 内 容 以 及 数字 签名 .数字 信封 的 格式 等 方面 的 一 系列 相关 协议 。 
1999 年 底 ,PKCS 公布 ,如 表 6. 3 所 示 。 

其 二 是 由 Internet 工程 任务 组 (Internet Engineering Task Force,IETF) 和 PKIX 工 
作 组 (Public Key Infrastructure X. 509 Working Group) 所 定义 的 一 组 具有 互 操 作 性 的 
公 钥 基础 设施 协议 。 大 部 分 PKI 产品 为 保持 兼容 性 .同时 对 这 两 种 标准 提供 支持 。 这 是 
第 一 代 PKI 标准 ,它们 的 特点 是 实现 比较 困难 ,但 目前 的 PKI 产品 都 以 此 为 主 。 
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表 6.3 公 和 钥 加 密 标准 PKCS( 部 分 ) 


标 准 内 容 
3 定义 RSA 公 钥 算法 的 加 密 和 签名 机 制 ,主要 用 于 组 织 PRCS#7 中 描述 的 数字 签 
PKCS#1 i 
名 和 数字 信封 
PKCS#3 定义 Diffie-Hellman 密 钥 加 密 算 法 


描述 一 种 利用 从 口令 派生 出 安全 密 钥 加 密 字 符 串 的 方法 。 这 主要 用 于 加 密 从 网 


PKCS#5 | 络 上 传输 的 私 钥 , 不 能 用 于 加 密 信息 


PKCS#6 描述 公 钥 证 书 的 标准 语法 


PKCS#7 定义 一 种 通用 的 消息 语法 ,包括 数字 签名 和 加 密 等 用 于 增强 的 加 密 机 制 


PKCS#10 描述 证 书 请 求 语法 


PKCS#12 描述 个 人 信息 交换 语法 标准 ,用 于 将 用 户 公 钥 、 私 钥 、 证 书 等 相关 信息 打包 


第 二 代 的 PKI 标 准 是 由 微软 ,Versign 和 WebMethods 三 家 公司 联合 发 布 的 XML 
密 钥 管理 规范 (XML Key Management Specification ,XKMS) 。 它 由 两 部 分 组 成 : XML 


密 钥 信息 服务 规范 和 XML 密 钥 注册 服务 规范 。 前 者 定义 了 用 于 验证 公 钥 信息 合法 性 的 
信任 服务 规范 ,使 用 该 规范 ,XML 应 用 程序 可 以 通过 网 络 委托 可 信 的 第 三 方 CA 处 理 有 
关 认 证 签名 、 查 询 、 验 证 等 服务 。 后 者 定义 了 一 种 可 通过 网 络 接收 公 角 注册、 撤销、 恢复 
的 服务 规范 ,XML 应 用 程序 建立 的 密 钥 对 ,可 通过 该 规范 将 公 钥 及 其 他 有 关 身 份 信息 发 
给 可 信 的 CA 注册 。 


64 个 人 数字 和 焉 书 的 使 用 


在 很 多 电子 商务 活动 中 ,都 要 求 用 户 使 用 数字 证 书 。 例 如 ,淘宝 的 支付 宝 网 站 .中国 
建设 银行 或 中 国 农 业 银行 的 网 银 系统 都 会 要 求 用 户 安装 个 人 数字 证 书 , 从 而 网 站 可 以 根 
据 证 书 识 别 用 户 的 身份 ,提高 交易 或 支付 活动 的 安全 性 。 


641 申请 数字 证 书 


下 面 以 淘宝 旗下 网 站 支付 宝 为 例 , 介 绍 支付 宝 个 人 数字 证 书 的 申请 过 程 。 支 付 宝 要 
求 首 先 申 请 一 个 支付 宝 账号 ,并 对 该 账号 进行 实名 认证 后 ,就 能 申请 数字 证 书 服务 了 。 
单 击 图 6. 23 中 的 “立即 申请 ?按钮 ,就 可 以 进行 数字 证 书 申请 了 。 

接 下 来 支付 宝 网 站 会 要 求 用 户 安装 名 为 “天 威 诚信 证 书 助手 ”的 浏览 器 插件 ,该 插件 
可 以 方便 地 管理 数字 证 书 。 安 装 完 成 后 ,网 站 就 会 向 浏览 器 发 送 证 书 , 此 时 浏览 器 会 弹 
出 询问 框 ,询问 是 否 信任 该 网 站 的 CA, 选 择 * 是 ”, 就 会 弹出 即将 下 载 证 书 的 提示 框 ,如 
图 6. 24 所 示 。 

通常 ,会 要 求 安装 两 个 证 书 。 一 个 是 支付 宝 网 站 的 根 CA 证 书 , 如 图 6. 25 所 示 。 它 
是 自 签名 的 ,只 有 安装 了 根 CA 的 证 书 才能 验证 其 他 CA 是 否 合法 。 男 一 个 是 用 户 自 己 
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支付 宝 数字 证 书 是 使 用 支付 宝 账户 资 多 的 身份 
凭证 之 一 ,加密 修 的 信息 并 确保 账户 和 次 全 安 知 论 卡 处 理 器 能 阻挡 各 种 的 风 辽 四 


二 当 进 行 付款 、 确 以 收 货 等 窒 爹 拘 作 全 和 人 人 和 和 到 庆 和 
和 即使 
Ft 对 方 也 动 不 了 您 的 资金 ， 和 | 


区 工 二 看 详情 


图 6.23 支付 宝 网 站 数字 证 书 申请 页 面 


潜在 的 脚本 冲突 


民 


图 6.24 证 书 下 载 提 示 


图 6.25 安装 证 书 的 提示 


的 证 书 ,该 证 书 的 公 钥 及 对 应 的 私 钥 是 用 户 的 Web 浏览 器 生成 的 ,其 中 私 钥 保存 在 用 户 
电脑 中 。 

数字 证 书 安装 成 功 后 ,会 给 出 提示 。 可 以 在 浏览 器 中 查看 已 安装 的 数字 证 书 ,具体 
方法 在 6. 4. 2 节 中 介绍 。 
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642 查看 个 人 数字 证 书 


在 下 浏览 器 中 ,可 以 查看 已 经 安装 的 数字 证 书 。 单 击 “ 工 具 ” 菜 单项 中 的 “Internet 
选项 ”, 将 弹出 如 图 6. 26 所 示 的 对 话 框 。 


Internet 选项 


图 6.26 “Internet 选项 ”对话 框 中 的 内容" 选项 卡 


选择 “内 容 ” 选 项 卡 ,然后 单 击 “ 证 书 ” 按 钮 就 可 以 查看 当前 证 书 列表 ,如 图 6. 27 
所 示 。 


CCB CA ROOT 2014-12-9 “无 > 
CCB CA ROOT 2010-1-2 ”< 无 > 
Alipay. com Corpo... 2011-7-7 ‘FE> 


Alibaba. com Corp... 2010-12-9 《无 > 
Alipay. eon Corpo... 2010-12-8 < 无 > 


图 6.27 个 人 数字 证 书 列表 
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提示 : 在 Windows 开始 菜单 的 “运行 ?对 话 框 中 输入 certmgr. msc 也 可 以 查看 证 书 。 

在 图 6. 27 中 选 定 要 查看 的 个 人 数字 证 书 ,双击 该 证 书 或 单 击 “ 查 看 ”按钮 ,可 查看 该 
证 书 的 信息 ,如 图 6. 28 所 示 。 在 “详细 信息 ”选项 卡 中 可 查看 X. 509 证 书 各 个 字段 的 值 ; 
在 “证 书 路 径 ” 选 项 卡 中 可 查看 颁发 该 证 书 的 上 级 CA 和 根 CA ,如 图 6. 29 所 示 。 


人 发 者 : Alipay. com Corporation Machine CA 


有 效 起 始 日 期 2009-12-9 到 2010-12-9 


图 6.28 证 书 的 常规 信息 


ay Trust NetWork 
ipay. com Corporation Machine CA 


图 6.29 证 书 的 路 径 


提示 : 由 于 该 证 书 是 用 户 本 人 的 ,因此 在 图 6.28 中 可 看 到 用 户 有 一 个 与 该 证 书 对 应 
的 私 钥 。 如 果 是 用 户 在 和 CA 通信 过 程 中 获取 的 CA 的 证 书 , 则 用 户 计 算 机 中 没有 该 CA 
证 书 对 应 的 私 钥 。 在 图 6. 27 中 的 “中 级 证 书 颁 发 机 构 ” 或 “受信 任 的 根 证 书 颁 发 机 构 ” 选 
项 卡 中 可 以 查看 所 有 与 用 户 有 过 通信 的 CA 的 证 书 。 


643 证 书 的 导入 和 导出 
证 书 安装 以 后 ,就 可 以 在 本 机 上 使 用 数字 证 书 提供 的 各 种 功能 了 。 但 有 时 可 能 需要 
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在 其 他 计算 机 上 使 用 这 个 数字 证 书 ,这 时 就 需要 将 证 书 从 本 机 中 导出 成 一 个 文件 ,再 在 
其 他 计算 机 上 导入 该 证 书 文件 。 另 外 ,重新 安装 操作 系统 之 前 也 需要 将 证 书 导出 作为 备 
份 , 避 免 证 书 丢 失 。 


1. 证 书 的 导出 


(1) 在 图 6. 27 的 “列表 ”窗口 单 击 “ 导 出 ”按钮 ,这 时 将 弹出 “证 书 导出 向 导 ” 对 话 框 ， 
单 击 “ 下 一 步 "按钮 ,将 弹出 如 图 6. 30 所 示 的 对 话 框 。 


图 6.30 导出 私 钥 


如 果 和 希望 将 导出 的 证 书 作 为 备份 ,在 需要 时 再 导入 ,在 这 里 请 务必 选择 将 私 钥 和 证 
书 一 起 导出 ,因为 自己 的 证 书 没 有 私 钥 的 配合 就 是 不 完整 和 无 效 的 ,以 后 也 没有 办 法 再 
导入 和 使 用 了 。 

提示 : 导出 某 些 证 书 时 可 能 出 现 *“ 导 出 私 铀 "选项 是 灰色 的 ,也 就 是 无 法 导出 私 钥 , 这 
通常 是 因为 安装 证 书 时 选择 了 “ 私 钥 不 可 导出 ”, 这 将 导致 该 证 书 只 能 在 本 机 上 使 用 。 

(2) 单 击 “ 下 一 步 ” 按 钮 ,将 弹出 如 图 6. 31 所 示 的 导出 文件 格式 对 话 框 。 


证 书 导出 向 导 


图 6.31 选择 证 书 导出 文件 格式 
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在 导出 文件 格式 中 ,保持 默认 的 选项 设置 即 可 ,这 样 将 导出 一 个 扩展 名 为 PFX 的 
文件 。 

提示 : PFX(Personal Information Exchange, 个 人 信息 交换 ) 文 件 包 含 一 个 证 书 和 与 
之 对 应 的 私 钥 , 它 是 PKCS#12 号 标准 定义 的 为 存储 和 传输 用 户 或 服务 器 私 钥 、 公 钥 和 
证 书 指定 的 一 种 可 移植 的 格式 ,简单 地 说 就 是 将 证 书 和 私 钥 一 起 打包 存储 的 文件 。 

(3) 接 下 来 将 弹出 如 图 6. 32 所 示 的 保护 私 钥 对 话 框 , 在 这 里 必须 输入 口令 (密码 ) 以 
保护 私 钥 , 系 统 将 用 输入 的 口令 作为 密 钥 加 密 该 私 钥 , 以 保证 私 钥 不 以 明文 形式 保存 , 防 
止 私 钥 被 未 经 授权 者 访问 。 系 统 用 口令 加 密 私 钥 后 .会 立即 将 该 口令 丢弃 。 因 此 用 户 必 
须 牢记 该 口令 ,如 果 忘 记 口 令 , 则 很 难 再 还 原 出 私 钥 。 


图 6.32 用 密码 保护 私 钥 


提示 : 利用 口令 保护 私 钥 是 PKCS#5 定义 的 一 套 标准 。 通 常 ,证 书 对 应 的 私 钥 有 3 
种 保存 方法 : 其 一 是 用 口令 加 密 保存 ;其 二 是 将 口令 保存 到 单独 的 存储 设备 (如 智能 卡 ) 
中 ;其 三 是 将 私 钥 存储 到 数字 证 书 的 服务 器 上 。 其 中 第 二 种 方法 的 安全 性 最 高 , 像 网 上 
银行 使 用 的 U 盾 实 际 上 就 是 一 种 保存 证 书 及 其 对 应 私 钥 的 设备 。 

(4) 单 击 “ 下 一 步 " 按 钮 将 弹出 指定 要 导出 文件 的 文件 名 对 话 框 ,在 这 里 可 选择 导出 
文件 的 存放 路 径 和 文件 名 ,给 证 书 命名 时 可 取 一 个 有 意义 的 文件 名 (如 支付 宝 ) ,以 方便 
辨别 该 证 书 是 哪个 机 构 颁 发 的 。 导 出 之 后 就 可 以 看 到 文件 夹 里 多 了 一 个 “支付 宝 . pfx” 
文件 。 这 样 就 完成 了 对 证 书 及 其 私 钥 的 打包 备份 。 


2. 证 书 的 导入 


可 以 将 刚才 导出 的 证 书 文件 导入 到 另 一 台 计 算 机 中 ,实现 证 书 的 迁移 。 为 了 实验 ， 
也 可 以 在 图 6. 27 的 数字 证 书 列表 中 先 将 某 个 证 书 删除 ,再 按 下 面 的 步骤 将 证 书 导入 。 

(1) 双击 刚才 保存 的 证 书 文件 “支付 宝 . pfx”, 或 者 在 图 6. 27 的 数字 证 书 列表 中 单 击 
“导入 ”按钮 ,选择 要 导入 的 文件 ,都 将 弹出 “证 书 导入 向 导 ” 对 话 框 。 

在 证 书 导入 向 导 的 步 又 中 ,会 要 求 用 户 输入 保护 私 钥 的 密码 ,如 图 6. 33 所 示 , 这 个 
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密码 就 是 导出 证 书 时 输入 的 保护 私 钥 的 密码 。 接 下 来 还 必须 把 * 标 志 此 密 钥 为 可 导出 
的 。 这 将 允许 您 在 稍 后 备份 或 传输 密 钥 ”的 复 选 框 勾 选 上 ,这 样 以 后 还 可 以 将 私 钥 连同 
证 书 再 次 导出 。 


证 书 导入 向 导 


图 6.33 提示 输入 保护 证 书 私 钥 的 密码 


(2) 单 击 “ 下 一 步 "按钮 ,将 提示 选择 证 书 存储 的 位 置 ,保持 默认 选项 “根据 证 书 类 型 ， 
自动 选择 证 书 存 储 区 ” 即 可 。 
这 样 就 完成 了 证 书 的 导入 ,可 以 在 个 人 证 书 列表 中 看 到 证 书 已 经 被 导入 进来 了 。 


644 USB Key 的 原理 


将 数字 证 书 存储 在 自己 的 电脑 中 也 不 是 绝对 安全 的 。 假 设 攻击 者 能 访问 用 户 的 电 
脑 ( 通 过 网 络 或 直接 访问 ) ,并 且 知 道 ( 通 过 猜测 或 其 他 手段 ) 了 用 户 用 于 保护 私 钥 的 口 
令 , 那 么 他 就 可 以 按照 6.4. 3 节 中 的 步骤 将 证 书 连同 其 私 钥 一 起 导出 ,从 而 窃取 了 用 户 
的 证 书 和 私 钥 。 

为 了 方便 用 户 备 份 证 书 和 私 钥 , 又 不 能 禁止 用 户 导 出 私 钥 。 为 此 ,人 们 想 出 了 将 数 
字 证 书 和 私 钥 不 存放 在 电脑 上 ,而 是 存放 在 一 种 单独 的 存储 介 pp 一 一 sone 
质 中 ,这 种 存储 介质 就 称 为 U 盾 (USB key)。 图 6. 34 是 建设 银 全 ED 
行 的 网 银 盾 ,其 实质 是 一 种 口 盾 。 

预先 制作 好 的 数字 证 书 在 银行 内 部 环节 就 直接 存 人 到 U 盾 
中 , 即 领 即 用 ,用 户 无 法 将 网 银 盾 中 的 数字 证 书 和 私 钥 复 制 出 
来 ,只 能 安装 银行 专用 的 网 银 盾 管理 软件 才能 读 取 数字 证 书 ,如 图 6. 35 所 示 。 网 银 盾 中 
还 保存 了 证 书 对 应 的 私 钥 , 并 且 私 钥 也 采用 口令 进行 加 密 。 因 此 ,用 户 在 使 用 网 银 盾 时 ， 
除了 将 网 银 盾 插入 电脑 以 外 ,还 要 输入 正确 的 口令 以 访问 私 钥 , 只 有 同时 拥有 网 银 盾 和 
知道 网 银 盾 口令 的 用 户 才能 通过 认证 ,这 就 实现 了 双 因 素 认证 。 


图 6.34 中 国 建设 银行 
的 网 银 盾 
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网 银 盾 用 户 在 第 一 次 使 用 网 上 银行 时 不 必 下 载 和 安装 个 人 数字 证 书 ( 但 必须 先 安 装 
网 银 盾 管理 工具 ) ,这 在 一 定 程度 上 提高 了 安全 性 和 方便 性 。 


中 国 建设 银行 网 根 盾 


SO 中 国 建设 银行 
China Construction Bank 


CO | 
| 
Wi | 


6.35 网 银 盾 中 显示 的 数字 证 书 


645 利用 数字 证 书 实现 安全 电子 邮件 


电子 邮件 是 人 们 常用 的 一 种 Internet 服务 ,但 电子 邮件 的 安全 性 实际 上 是 很 低 的 。 
这 表现 在 两 个 方面 : 其 一 是 通过 电子 邮件 传输 协议 SMTP 传输 的 邮件 内 容 是 未 加 密 的 ， 
攻击 者 可 以 通过 线路 窃听 窃取 邮件 的 内 容 ; 其 二 ,电子 邮件 的 地 址 是 可 以 伪造 的 ,例如 你 
知道 杰克 的 E-mail 地 址 是 Jack@tom. com, 但 是 当 你 收 到 一 封地 址 Jack@tom. com 的 邮 
件 时 ,你 并 不 能 保证 它 一 定 是 杰克 发 过 来 的 ,因为 攻击 者 可 以 伪造 任何 一 个 E-mail 地 址 ， 
他 只 需 用 邮件 服务 器 软件 (如 WebEasyMail) 建立 一 台 域 名 为 tom. com 的 邮件 服务 器 ， 
再 在 上 面 新 建 一 个 Jack 的 账号 就 能 用 该 账号 发 送 地 址 是 Jack@tom. com 的 E-mail 了 。 

解决 第 一 个 问题 的 方法 很 简单 ,可 以 对 电子 邮件 进行 加 密 以 防范 窃听 攻击 ;解决 第 
二 个 问题 可 以 采用 数字 签名 的 方法 ,发 送 方 将 自己 的 电子 邮件 进行 签名 后 再 发 送 给 接收 
方 ,接收 方 就 能 验证 发 送 方 对 邮件 的 签名 来 确定 邮件 的 来 源 , 而 不 是 仅仅 验证 对 方 的 E- 
mail 地 址 。 

目前 对 电子 邮件 进行 加 密 和 签名 一 般 采 用 安全 电子 邮件 协议 S/MIME (Secure 
Multipurpose Internet Mail Extension) 或 PGP (Pretty Good Privacy) 软件 来 实现 。 
Outlook 提供 了 对 S/MIME 协议 的 支持 ,下 面 以 Outlook 为 例 介 绍 对 电子 邮件 进行 加 密 
和 签名 的 方法 。 


1. 利用 数字 证 书 对 电子 邮件 加 密 


如 果 发 送 方 要 发 送 一 封 加 密 的 E-mail 给 接收 方 , 发 送 方 必须 使 用 接收 方 证 书 中 的 公 
钥 加 密 该 邮件 ,因此 他 必须 先 到 对 方 申请 证 书 的 网 站 (CA) 下 载 对 方 的 证 书 。 

发 送 方 然后 可 使 用 Outlook Express 6 给 对 方 发 邮件 , 单 击 “ 创 建 邮 件 ” 按 钮 创建 一 
封 新 邮件 ,将 弹出 创建 新 邮件 的 窗口 ,在 “工具 ”菜单 中 选择 “选择 收 件 人 ”, 单 击 “ 新 建 联 
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系 人 ?按钮 ,在 电子 邮件 地 址 中 输入 对 方 的 地 址 ,然后 单 击 * 添 加 ?按钮 。 在 如 图 6. 36 所 
示 的 “数字 标识 ?选项 卡 中 , 单 击 * 导 入 ?按钮 ,将 对 方 的 证 书 导 入 ,对 方 的 证 书 通常 是 一 个 
后 缀 名 为 ". cer” 的 文件 。 这 样 发 送 方 就 可 以 用 对 方 数字 证 书 里 的 公 钥 加 密 邮 件 了 。 需 要 
注意 的 是 ,Outlook 要 求 数 字 证 书 中 的 E-mail 地 址 字段 和 联系 人 的 E-mail 地 址 必须 相 
同 , 以 保证 证 书 确实 是 该 E-mail 持 有 者 的 。 


6.36 导入 收 件 人 的 数字 证 书 


接 下 来 在 新 邮件 的 “ 收 件 人 ”一 栏 中 输入 刚才 创建 的 联系 人 地 址 , 单 击 工具 栏 中 的 
“加 密 ” 按 钮 ,会 发 现 收 件 人 右 侧 多 了 一 个 加 密 标记 ,如 图 6. 37 所 示 , 这 样 就 创建 了 一 封 
加 密 的 邮件 , 单 击 "发 送 " 就 会 将 这 封 加 密 的 邮件 发 送 给 对 方 。 


图 6.37 创建 加 密 邮 件 


接收 方 收 到 后 ,用 Outlook 打开 ,就 会 出 现 如 图 6. 38 所 示 的 界面 ,表明 该 邮件 已 经 
加 密 , 如 果 接收 方 计算 机 中 没有 安装 加 密 该 邮件 用 的 数字 证 书 , 接 收 方 将 不 能 阅读 该 
邮件 。 

如 果 要 查看 邮件 的 原始 信息 ,可 选中 邮件 后 ,选择 “文件 菜单 ”中 的 “属性 ”命令 ,在 
“详细 信息 ”选项 卡 中 单 击 “安全 邮件 来 源 ”, 就 可 以 看 到 完整 的 S/MIME 格式 的 邮件 内 容 
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入 此 邮件 由 发 件 人 加 密 。 


当 收 到 一 封 加 密 邮件 时 ， 你 应 该 可 以 自信 地 认为 六 
邮件 未 被 任何 第 三 者 读 过 。0utlook Express 会 自 
和 如 果 您 的 计算 机 上 装 有 正确 的 


6.38 ”邮件 已 经 加 密 的 提示 
了 ,S/MIME 在 消息 报头 中 新 增 了 两 个 内 容 类 型 : multipart 和 application。 
2. 利用 数字 证 书 对 电子 邮件 进行 数字 签名 


发 送 方 可 以 利用 自己 的 证 书 对 应 的 私 钥 对 电子 邮件 进行 签名 ,在 Outlook 中 发 送 带 
有 数字 签名 的 邮件 步骤 如 下 : 

(1) 选择 “工具 ”菜单 中 的 “账户 ”命令 ,选择 一 个 用 来 发 送 邮 件 的 账户 ,在 这 里 选择 
tangsix@tom. com, 青 单 击 “ 属 性 ”按钮 ,如 图 6. 39 所 示 。 


6.39 选择 发 送 邮件 的 账户 


(2) 在 账户 的 属性 对 话 框 中 ,选择 “安全 ”选项 卡 , 如 图 6. 40 所 示 。 在 “签署 证 书 ”一 
栏 中 单 击 “ 选 择 ” 按 钮 ,在 图 6. 41 所 示 的 对 话 框 中 将 列 出 所 有 可 供 选 择 的 用 户 证 书 ( 这 些 
证 书 中 的 E-mail 字段 值 与 发 件 人 账户 的 E-mail 地 址 相同 ) ,可 以 选择 用 来 对 邮件 进行 数 
字 签 名 的 发 件 人 的 证 书 。 这 样 就 设置 好 了 发 件 人 发 送 签名 邮件 所 使 用 的 证 书 。 

(3) 现在 可 以 创建 签名 的 邮件 了 , 单 击 “ 创 建 邮 件 ” 按 钮 ,在 创建 邮件 面板 中 撰写 一 封 
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总 tangsizetom- com 尾 性 


图 6.40 账户 属性 对 话 框 的 “安全 "选项 卡 


选择 默认 帐户 数字 ID 


图 6.41 选择 要 使 用 的 证 书 


邮件 ,邮件 的 收 件 人 可 以 是 任何 人 。 扎 写 完毕 后 在 图 6. 37 中 单 击 “ 签 名 ”按钮 ,就 创建 了 
一 封 签名 的 邮件 , 单 击 * 发 送 "按钮 就 可 以 将 邮件 发 送 给 收 件 人 。 

提示 : 对 于 签名 的 邮件 ,在 默认 情况 下 发 件 人 的 数字 证 书 将 附 在 邮件 里 一 起 发 送 给 
收 件 人 。 如 果 不 希 望 这 样 ,可 以 在 工具 菜单 的 “选项 ”面板 中 选择 "安全 ”选项 卡 , 再 单 击 
“高 级 ”按钮 ,将 “发 送 签 名 邮件 时 包含 我 的 数字 标识 ”一 项 不 选中 ,这 样 , 收 件 人 收 到 邮件 
后 必须 到 CA 获取 发 件 人 的 证 书 再 对 邮件 的 签名 进行 验证 ,可 以 防止 同时 伪造 证 书 和 邮 
件 地 址 的 情况 发 生 。 


3. 利用 数字 证 书 同时 对 邮件 进行 签名 和 加 密 


如 果 按 照 上 述 步 又 既 设置 了 发 件 人 的 证 书 ,又 设置 了 收 件 人 的 证 书 ,就 可 以 把 上 述 
两 种 方案 结合 起 来 ,创建 同时 签名 并 加 密 的 电子 邮件 ,这 样 就 保证 该 电子 邮件 的 机 密 性 、 
完整 性 和 不 可 否认 性 。 
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4. 数字 证 书 的 应 用 小 结 


使 用 数字 证 书 进行 邮件 的 加 密 和 签名 只 是 数字 证 书 的 一 个 应 用 而 已 。 实 际 上 ,很 多 
软件 都 支持 数字 证 书 , 如 Foxmail、Word、Adobe Reader 等 ,因此 还 可 以 用 数字 证 书 加 密 
Word 文档 或 PDF 文档 等 。 在 后 面 将 介绍 的 SSL 协议 .SET 协议 .VPN 技术 中 ,数字 证 
书 不 仅 可 用 来 加 密 签名 ,更 重要 的 是 用 作 身 份 证 明 。 


65 突 装 和 使 用 CA 服务 器 


在 Windows 2003 等 服务 器 版 本 的 操作 系统 中 ,有 一 个 “证 书 服务 ”的 组 件 , 证 书 服务 
组 件 提供 了 让 用 户 申 请 证 书 、 发 放 证 书 、 撤 销 证 书 和 证 书 管 理 的 功能 ,实质 上 是 一 个 CA 
服务 器 软件 。 下 面 学 习 如 何 使 用 “证 书 服务 ”。 

提示 : 非 服务 器 版 本 的 Windows 系统 是 不 具有 证 书 服务 组 件 的 ,如 果 想 在 这 些 操作 
系统 上 安装 证 书 服务 ,可 以 选择 OpenSSL 等 开源 的 CA 服务 器 软件 。 


1. 安装 证 书 服务 


在 Windows 2003 系统 中 ,证 书 服务 默认 是 没有 安装 的 ,需要 手动 安装 ,安装 步骤 
如 下 : 

(1) 依次 选择 “开始 ”一 “设置 ”一 “控制 面板 ”>“ 添 加 /删除 程序 ”命令 。 

(2) 在 “添加 /删除 程序 ”面板 中 选择 “添加 /删除 Windows 组 件 ? 按 钮 ,就 会 弹出 如 
图 6.42 所 示 的 “Window 组 件 向 导 ” 对 话 框 。 在 其 中 选中 “证 书 服务 ”。 


Windows 组 件 褒 导 区 
Yindows 组 件 | 
可 以 添加 或 朋 除 Yindows 的 组 件 。 [总 


口 学 终 端 服 务 器 授权 0.9 有 是 
描述 : 安装 证 书 颇 发 机 构 f 如 以 便 堪 发 证 书 用 于 公 钥 安全 程序 。 

所 需 磁 盘 空间 14.3 NB rT 

可 用 磁盘 空间 : 30152.7 上 Ey 


《< 上 一 步 思 | 下 - 步 中 7 取消 | 5 | 
图 6.42 安装 证 书 服务 


(3) 单 击 “下 一 步 ” 按 钮 ,这 时 会 弹出 对 话 框 ,提示 “安装 证 书 服务 后 ,计算 机 名 和 域 成 
员 身 份 都 不 能 更 改 …… ”, 单 击 “ 确 定 ” 按 钮 。 就 会 开始 安装 证 书 服务 。 

(4) 安装 证 书 服务 时 首先 要 求 选择 CA 类 型 ,如 图 6. 43 所 示 。 有 4 种 CA 类 型 可 
选 , 如 果 要 安装 为 没有 从 属 关 系 的 CA, 则 可 以 选择 “企业 根 CA” 和 “独立 根 CA”, 此 处 选 
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择 “ 独 立根 CA”( 当 然 选择 “企业 根 CA? 也 是 可 以 的 ) 。 


Yindows 组件 向 导 
CA 类 : 


选择 您 起 设置 的 CA 类 型 。 


SR CEY 
合 企业 从 尾 CX (EY 


的 描述 
| 层次 结构 中 景 受信 任 的 CA。 


eer CA ,需要 Active Directory, 您 必须 同时 是 企业 管理 员 姐 的 成 


人 用 自 定义 设置 生成 密 钥 对 和 CA 证 书 


< 上 二- 步 四 取消 下 助 | 


6.43 选择 CA 类 型 


提示 : 独立 根 CA 最 初 是 为 了 用 作 CA 层次 结构 中 受信 任 的 脱 机 根 CA。 它 可 以 颁 
发 以 下 用 途 的 证 书 : 数字 签名 、 使 用 S/MIME 的 安全 电子 邮件 、 作 为 Web 服务 器 的 证 书 
供 SSL 协议 进行 身份 验证 。 它 和 企业 根 CA 的 区 别 在 于 : 

@ 安装 企业 根 CA 之 前 需要 启动 Active Directory 目录 服务 ,而 独立 根 CA 不 需要 。 

@ 企业 根 CA 可 以 使 用 证 书 模 板 , 而 独立 根 CA 没有 。 

(5) 如 果 在 图 6. 43 中 选择 了 “用 自 定义 设置 生成 密 钥 对 和 CA 证 书 ” 复 选 框 ,就 会 出 
现 如 图 6. 44 所 示 的 “ 公 钥 / 私 钥 对 ”对 话 框 ,如 果 要 用 该 CA 颁发 服务 器 证 书 , 则 密 钥 长 度 


Tindows 钥 件 向 导 [x 


公 钥 / 私 钥 对 
选择 一 个 加 密 服 务 提供 程序 (CSP) , 哈 希 算法 和 密 钥 对 的 设置 。 


CsP C): 获 列 算法 0: 


Mierosoft Base Cryptoor ephic Provider v | los 
Mierosoft Base DSS Cryptographic Provid 
htop phic | 由 


广 允许 此 CSP 与 各 面 交 百 四) 


厂 使 用 现 有 密 钥 到) : 


村 者 证 和 0 | 
夺 | 使 用 与 此 窜 钴 相关 的 证 入 
< 上 一 步 @) | 下 一 步 中 >| 取消 帮助 | 


图 6.44 设置 公 钥 / 私 钥 对 


184 


Hsin 


建议 取 2048 位 ,如 果 是 用 来 颁发 其 他 个 人 数字 证 书 , 则 密 钥 长 度 可 取 1024 位 。 如 果 选 
中 “使 用 现 有 密 钥 " 复 选 框 ,就 可 以 使 用 IIS 生成 的 密 钥 对 (不 推荐 ) 。 

(6) 接 下 来 要 求 输入 CA 的 名 称 和 区 别名 (可 分 辨 名 称 ) ,如 图 6.45 所 示 。 在 CA 的 
公用 名 称 中 可 任意 输入 一 个 :而 区 别名 必须 符合 区 别名 的 格式 规范 , 即 相 对 区 别名 是 一 
个 属性 值 的 等 式 说 明 ( 如 DC 二 hynu)。 在 这 一 步 还 可 以 设置 根 CA 的 “有 效 期 限 ”, 根 CA 
的 有 效 期 限 至 少 要 比 它 的 从 属 CA 的 有 效 期 限 长 。 

Yindows 姐 件 向 导 | 
CA 识别 信息 Te 


输入 识别 该 cA 的 信息 。 [总 


此 CA 的 公用 名 称 C): 
rm CA 


可 分 辨 名 称 后 即 四 ) : 


蕊 DC=en 


可 分 辨 名 称 的 预览 EE): 


有 次 期 RQ): 截止 日 期 : 


EE 证 辐 2017-6-26 10:48 


mm | ew | 


图 6.45 CA 识别 信息 


(7) 单 击 “ 下 一 步 " 按 钮 ,出 现 “ 证 书 数据 库 ” 设 置 对 话 框 ,将 证 书 数据 库 及 其 日 志 的 保 
存 位 置 保持 默认 值 即 可 。 再 单 击 “ 下 一 步 ” 按 钮 ,会 提示 在 证 书 服务 安装 过 程 中 需要 “ 停 
止 Internet 信息 服务 ”, 单 击 “ 是 ”按钮 。 

(8) 系统 在 确定 停止 了 IIS 服务 的 运行 后 , 便 会 开始 安装 证 书 服务 器 相关 的 组 件 , 在 
安装 过 程 中 会 提示 要 插入 Windows 安装 光盘 ,插入 光盘 即 可 完成 证 书 服务 的 安装 。 


2. 向 CA 服务 器 申请 证 书 


要 向 安装 好 的 CA 服务 器 申请 证 书 , 有 两 种 方法 : 第 一 ,使 用 证 书 申 请 向 导 ; 第 二 , 通 
过 CA 服务 器 的 网 页 申请 。 下 面 介绍 用 第 二 种 方法 来 申请 证 书 ,步骤 如 下 : 

(1) CA 服务 器 安装 好 之 后 , 它 会 在 IIS 中 建立 一 个 供用 户 申请 证 书 的 网 站 (该 网 站 
的 文件 位 于 IIS 默认 网 站 下 的 CertSrv 虚拟 目录 中 ) ,该 网 站 相当 于 RA。 在 浏览 器 中 输 
入 http://localhost/certsrv/default. asp 就 可 以 打开 如 图 6. 46 所 示 的 证 书 申请 网 站 的 
首页 。 

(2) 单 击 “ 申 请 一 个 证 书 ”, 在 证 书 申 请 页 面 中 ,选择 “创建 并 向 此 CA 提交 一 个 申 
请 ”, 为 了 可 以 选择 证 书 的 类 型 , 单 击 “ 下 一 步 ” 按 钮 ,选择 “高 级 证 书 申请 ”。 将 转 到 如 
图 6.47 所 示 的 页 面 。 这 时 ,用 户 可 以 选择 证 书 的 类 型 ,证 书 类 型 的 多 少 取决 于 CA 服务 
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王 crosoft 证 书 服务 一 HY 


您 可 以 向 通过 Web 的 人生 直 的 和 人， 签署 并 加 密 邮 件 ， 并 且 ， 根 据 您 申请 的 证 书 的 类 


型 ， 执 行 其 他 安全 


您 也 可 以 使 用 此 网 站 下 载 证 书 颁 发 机 构 (CA) 证 书 ， 证 书 链 ， 或 证 书 吊 销 列表 (CRL) ， 或 查看 挂 
起 的 申请 的 状态 。 


有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 书 服务 文档 . 


选择 一 个 任务 : 
申请 一 个 证 书 
查看 挂 起 的 证 书 申请 的 状态 
下 载 一 个 CA 证 书 ， 证 书 链 或 CRL 


6.46 证 书 申请 网 站 


etn 用 户 还 可 选择 证 书 密 钥 的 长 度 , 最 后 提交 
证 书 申请 给 C 


ET 


ft Internet Explorer 


EW |) htp: /1 ocdhost/ certsrv/ certrans asp 


icrosoft 证 书 服务 一 


高 级 证 书 申请 


使 用 此 网 站 为 您 的 Web 浏览 器 ， 电 子 邮 件 客户 端 或 其 他 程序 申请 一 个 证 书 。 通 过 使 用 证 书 ， | 


识别 信息 : 
姓名 : 障 四 薪 

电子 邮件 : |tangsix@tom com 

公司 : 

部 门 : 

市 /县 : 

省 ; 

国家 (地 区 ): 

需要 的 证 书 类 型 : 


服务 器 身份 验证 证 书 加 


室 乌 选项 : 


全 创 娃 新 密 骨 集 个 使 用 现存 的 密 钥 集 
Csp: [Microsof Enhanced Cryptographic Provider vi 0 司 
窒 角 用 法 : C 交换 C 签 团 全 两 者 


窗 骨 大 小 : 1024 最 太 全 38。 (入 者 讽 小 : S12 1024 20a 096 152 16384 ) 
人 自动 窑 钥 容器 名 称 个 用户 指 定 的 窗 角 容器 名 称 
所 标记 客 角 为 可 导出 
厂 启用 强 私 钥 保护 
厂 将 证 书 保存 在 本 地 计算 机 存储 中 


图 6.47 高 级 证 书 申请 页 面 


(3) CA 收 到 用 户 的 证 书 申请 后 ,就 可 以 颁发 证 书 了 ( 即 把 证 书 申请 转化 为 证 书 )。 


管理 员 在 CA 中 为 用 户 颁 发 证 书 的 方法 如 下 : 


Oz 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “证 书 颁 发 机 构 ” 命 令 , 将 打开 如 图 6. 48 所 
示 的 对 话 框 。 展 开 HYNU_CA 一 “ 挂 起 的 申请 ”, 在 右边 就 可 以 看 见 刚才 提交 的 证 书 申请 
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请 求 , 选 中 证 书 申请 请 求 并 右 击 ,在 快捷 菜单 中 选择 “所 有 任务 ”一 “颁发 "命令 。 


文件 操作 他 查看 WW) 帮助 
和 钙 | 因 | 四 | 加 区 | 妨 轩 


图 6.48 证书 颁 发 机 构 界面 


@ 展开 图 6. 48 中 “颁发 的 证 书 ”, 可 以 看 到 刚 申 请 的 证 书 已 经 出 现在 CA 的 证 书 列 
表 中 。 

(4) 下 载 并 安装 证 书 。 

CA 颁发 了 证 书后 ,还 需要 将 证 书 下 载 到 本 机 并 安装 才能 使 用 。 返 回 图 6. 46 所 示 的 
证 书 服务 主页 , 单 击 “ 查 看 挂 起 的 证 书 申请 的 状态 ”, 可 以 看 到 “证 书 已 经 颁发 "页 面 , 单 击 
该 页 面 中 的 “安装 此 证 书 ”, 系 统 提示 用 户 证 书 已 经 安装 成 功 。 此 时 可 以 在 图 6. 27 中 看 
到 这 个 已 安装 的 证 书 。 

(5) 下 载 CA 的 证 书 。 

假设 用 户 B 也 在 我 们 的 CA 服务 器 上 申请 了 证 书 , 为 了 能 够 验证 他 的 证 书 , 我 们 还 
需要 在 本 机 上 安装 CA 的 证 书 和 证 书 链 , 这 样 才 能 用 CA 证 书 中 的 公 钥 去 验证 用 户 了 证 
书 中 的 签名 。 返 回 图 6. 46 所 示 的 证 书 服务 主页 , 单 击 “ 下 载 一 个 CA 证 书 , 证 书 链 或 
CRL”, 将 转 到 如 图 6. 49 所 示 的 页 面 , 单 击 “ 下 载 CA 证 书 ” 就 可 以 将 CA 的 证 书 下 载 到 本 
机 了 。 


E TI 


文件 四 忽 辑 下) 查看 WD 收 着 工具 避 ) 帮助 00 不 
于 古 | 儿 http://1ocadhost/ certsrv/ certeare asp 了 ] 固 轩 到 | 氏 接 >” 


下 载 CA 证 书 、 证 书 链 或 CRL 习 


要 信任 从 这 个 证 书 颁发 机 构 颁 发 的 证 书 ， 安 装 此 CA 证 书 链 。 
要 下 载 一 个 CA 证 书 、 证 书 链 或 CRL， 选 择 证 书 和 编码 方法 。 
CA 证 书 : 
编码 方法 : 


@DER 
CBase 64 


下 载 CA 证 书 
下 载 CA 证 书 链 
下 载 最 新 的 基 CRL 


图 6.49 下 载 CA 证 书证 书 链 或 CRL 
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3. 吊销 证 书 
当 证 书 所 有 者 的 私 钥 泄 露 ,或 者 发 生 了 其 他 与 安全 相关 的 事件 时 ,CA 的 管理 员 必 须 
吊销 证 书 , 吊 销 的 证 书 将 被 添加 到 CRL 中 。 


在 图 6. 48 所 示 的 证 书 颁发 机 构 界 面 中 ,展开 HYNU_CA 一 “颁发 的 证 书 ”, 在 右边 选 
中 要 吊销 的 证 书 并 右 击 , 在 快捷 菜单 中 选择 "所 有 任务 -吊销 证 书 ”。 


4. 备份 和 还 原 CA 


在 图 6. 48 所 示 的 证 书 颁发 机 构 界 面 中 ,选择 要 备份 的 CA( 如 HYNU_CA) 并 右 击 ， 
在 快捷 菜单 中 选择 * 所 有 任务 ”> 备份 CA? 命 令 。 选 择 要 备份 的 项 目 ,选择 “浏览 ”, 指 定 
备份 文件 的 位 置 。 由 于 CA 也 有 自己 的 证 书 及 对 应 的 私 钥 , 因 此 接 下 来 会 提示 输入 访问 
CA 私 钥 的 密码 ,输入 一 个 自己 设置 的 密码 并 牢记 该 密码 即 完成 了 CA 的 备份 。 

还 原 CA 与 备份 CA 的 步骤 基本 相同 ,但 注意 要 暂时 停止 证 书 服务 。 


忆 题 


1. 关于 认证 机 构 CA ,下列 说 法 中 ( ) 是 错误 的 。 
A. CA 可 以 通过 颁发 证 书证 明 密 钥 的 有 效 性 
B. CA 有 着 严格 的 层次 结构 ,其 中 根 CA 要 求 在 线 并 被 严格 保护 
C. CA 的 核心 职能 是 发 放 和 管理 用 户 的 数字 证 书 
D. CA 是 参与 交易 的 各 方 都 信任 的 且 独 立 的 第 三 方 机 构 组 织 。 
2. 密 钥 交换 的 最 终 方 案 是 使 用 ( Ys 


A. 公 钥 B. 数字 信封 C. 数字 证 书 D. 消息 摘要 
3. CA 用 ( ) 签 名 数字 证 书 。 

A. 用 户 的 公 B. 用 户 的 私 钥 C. 自己 的 公 钥 D. 自己 的 私 钥 
4. 以 下 ( ) 设 施 通 常 处 于 在 线 状 态 ( 多 选 ) 。 

A. 根 CA B. OCSP C. RA D. CRL 
5. 数字 证 书 是 将 用 户 的 公 钥 与 其 ( ) 相 联系 。 

A. 私 钥 B. CA C. 身份 D. 序列 号 
6. 证 书 中 不 含有 以 下 ( ) 内 容 。 

A. 序列 号 B. 颁发 机 构 C. 主体 名 D. 主体 的 私 钥 


7. 为 了 验证 CA( 非 根 CA) 的 证 书 , 需 要 使 用 ( ws 
A. 该 CA 的 公 钥 ”B. 上 级 CA 的 公 钥 C. 用 户 的 公 钥 D. 该 CA 的 私 钥 
8.( ) 标 准 定义 了 数字 证 书 的 结构 。 


A. X. 500 B. S/MIME C. X.509 D. ASN.1 
9. pfx 是 以 下 ( ) 文 件 的 扩展 名 。 
A. 数字 证 书 文 件 B. 数字 证 书 加 密 文件 


C. 证 书 和 私 钥 打包 存储 的 文件 D. 加 密 私 钥 的 文件 
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10. 一 个 典型 的 PKI 应 用 系统 包括 5 个 部 分 : \ 证 书 作废 系统 、 
密 钥 备份 及 恢复 系统 .应 用 程序 接口 。 

11. RA 签发 数字 证 书 。( 填 可 以 或 不 可 以 ) 。 

12. 写 出 证 书 是 怎样 生成 的 。 

13. 验证 证 书 路 径 是 如 何 进行 的 。 

14. 假设 攻击 者 A 自己 创建 了 一 个 证 书 , 放 和 置 了 一 个 真实 的 组 织 名 (假设 为 银行 B) 
及 攻击 者 自己 的 公 钥 。 若 用 户 不 知 该 证 书 是 攻击 者 发 送 的 ,得 到 了 该 证 书 , 误 认为 证 书 
来 自 银行 B, 请 问 如 何 防 止 该 问题 的 产生 ? 


电子 商务 安全 协议 


电子 商务 安全 协议 本 质 上 是 一 类 较 复杂 的 密码 协议 , 它 是 用 来 保证 电子 商务 网 上 交 
易 的 机 密 性 .数据 完整 性 .身份 真实 性 和 不 可 否认 性 的 基础 。 

电子 商务 安全 协议 是 实现 电子 商务 交易 安全 的 关键 技术 ,安全 可 靠 的 电子 商务 安全 
协议 会 对 电子 商务 平台 的 整体 性 能 产生 很 大 的 影响 。 目 前 常见 的 电子 商务 安全 协议 有 
安全 套 接 层 协 议 (Security Socket Layer,SSL) 、 安 全 电子 交易 协议 (Secure Electronic 
Transaction,SET) 、3-D Secure 支付 协议 以 及 一 些 电子 支付 安全 协议 等 。 


71 SSL 忱 改 概 壕 


SSL 协议 是 由 Netscape 公司 于 1994 年 推出 的 一 套 基 于 Web 应 用 的 Internet 安全 
协议 ,该 协议 基于 TCP/IP 协议 ,提供 浏览 器 和 服务 器 之 间 的 认证 和 安全 通信 。SSL 通 
过 在 应 用 程序 进行 数据 交换 前 交换 SSL 初始 握手 信息 来 实现 有 关 身 份 认证 等 安全 特性 
的 审查 。 然 后 在 SSL 握手 协议 中 采用 DES、MD5 等 加 密 技 术 实现 机 密 性 和 数据 完整 性 ， 
这 样 ,数据 在 传送 出 去 之 前 就 自动 被 加 密 了 。 并 采用 X. 509 数字 证 书 实现 认证 。 


1. SSL 协议 和 TLS 协议 的 关系 


SSL 协议 第 一 个 成 熟 版 本 是 SSL 2.0 版 , 它 被 集成 到 Netscape 公司 的 Navigator 浏 
览 器 和 Web 服务 器 等 产品 中 。1996 年 ,Netscape 发 布 了 SSL 3.0 版 ,该 版 本 增加 了 对 除 
RSA 算法 以 外 的 其 他 算法 的 支持 和 一 些 新 的 安全 特性 ,并 且 修 正 了 前 一 版 中 的 安全 缺 
陷 , 因 此 更 加 成 熟 和 稳定 ,使 其 很 快 成 为 事实 上 的 工业 标准 。1997 年 IETF 基于 SSL 3.0 
协议 发 布 了 TLS(Transport Layer Security, 传输 层 安 全 协议 )。1999 年 正式 发 布 了 
RFC 2246 ,使 TLS 1.0( 也 被 称 为 SSL 3. 1) 成 为 了 工业 标准 。 因 此 TLS 协议 可 看 成 是 
SSL 协议 的 升级 版 本 。 


2. SSL 协议 的 组 成 


SSL 协议 分 为 两 层 : SSL 握手 协议 和 SSL 记录 协议 ,SSL 握手 协议 用 于 通信 双方 的 
身份 认证 和 密 钥 协商 ;SSL 记录 协议 用 于 加 密 传输 数据 和 对 数据 完整 性 的 保证 。SSL 协 
议 与 TCP/IP 协议 间 的 关系 如 图 7.1 所 示 ,因此 一 般 称 SSL 为 传输 层 安全 协议 (但 也 可 
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全 ra 全 应 几 


以 称 SSL 为 会 话 层 安全 协议 ,理由 是 它 位 
于 传输 层 和 应 用 层 之 间 ) 。 

提示 : SSL 协议 主要 用 于 浏览 器 和 服 |SSL 担 手 协议 |SSL 更 改 密 | [SSL 报 营 协 
务 器 之 间 相 互 认 证 和 传输 加 密 数 据 , 此 时 se 
浏览 器 和 服务 器 在 应 用 层 的 通信 将 采用 SSL 记 录 协 议 
S-HTTP 协议 (安全 超 文 本 传输 协议 )， TCE 
S-HTTP 连 接 的 网 址 以 https:// 开 头 ,而 
不 是 http://。 因 此 说 S-HTTP 协议 是 一 
种 基于 SSL 的 应 用 层 协议 ,而 并 不 等 同 
Ss 


3. SSL 协议 能 提供 的 安全 服务 


SSL 协议 采用 对 称 密码 技术 和 公 钥 密码 技术 相 结 合 . 提 供 了 如 下 3 种 基本 的 安全 
服务 : 

(1) 身份 认证 。 在 浏览 器 和 服务 器 进行 通信 之 前 ,必须 先 验证 对 方 的 身份 。SSL 利 
用 数字 证 书 和 可 信 第 三 方 CA ,使 客户 端 和 服务 器 相互 识别 对 方 的 身份 ,以 防止 假冒 的 网 
站 或 用 户 。 

(2) 秘密 性 。SSL 客户 机 和 服务 器 之 间 通 过 密码 算法 和 密 钥 的 协商 ,建立 起 一 个 安 
全 通道 ,以 后 在 安全 通道 中 传输 的 所 有 信息 都 将 使 用 协商 的 会 话 密 钥 进行 加 密 处 理 。 

(3) 完整 性 。SSL 利用 密码 算法 和 散 列 函数 ,通过 对 传输 信息 提取 散 列 值 并 生成 
MAC 的 方法 来 保证 传输 信息 的 完整 性 。 

提示 : 由 于 SSL 协议 没有 数字 签名 功能 ,因此 SSL 不 能 提供 抗 否认 服务 。 若 要 增加 
数字 签名 功能 , 则 需要 在 协议 中 打 补 丁 。 方 法 是 ,将 通信 双方 证 书 对 应 的 公私 钥 既 用 于 
加 密会 话 密 钥 又 用 于 数字 签名 ,但 这 在 安全 上 会 存在 漏洞 。 后 来 PKI 体系 完善 了 这 种 措 
施 , 即 双 密 钥 机 制 ,将 加 密 密 钥 和 数字 签名 密 钥 二 者 分 离 ,成 为 双 证 书 机 制 。 


HTTPS、 FTPS、 TELNETS、 IMAPS 


了 
图 7.1 SSL 协议 在 TCP/IP 协议 组 中 的 位 置 


72 SSL 恢 入 的 工作 辽 程 


SSL 协议 的 过 程 大 致 分 为 两 步 ,第 一 步 是 SSL 握手 协议 ,客户 端 和 服务 器 通过 数字 
证 书 相互 认证 对 方 的 身份 ,并 协商 产生 一 个 对 称 密 钥 和 求 消息 鉴别 码 MAC 的 密 钥 。 第 
二 步 是 SSL 记录 协议 ,用 第 一 步 产 生 的 对 称 密 钥 加 密 通 信 双 方 传输 的 所 有 数据 ,并 用 求 
MAC 的 密 钥 对 传输 的 信息 求 消息 鉴别 码 。 这 样 就 实现 了 身份 认证 、 机 密 性 和 完整 性 3 
项 安全 服务 。 

(1) 客户 端 与 服务 器 之 间 的 相互 身份 认证 。SSL 允许 客户 端 (或 浏览 器 ) 使 用 标准 的 
公 钥 加 密 技 术 和 可 靠 的 认证 机 构 (CA) 的 证 书 来 确认 服务 器 的 合法 性 ,服务 器 也 可 以 确 
认 客 户 端 的 身份 (可 选 ) ,以 确保 数据 发 送 到 正确 的 客户 端 或 服务 器 。 

(2) 对 浏览 器 和 服务 器 之 间 传 输 的 所 有 数据 加 密 ,以 防止 数据 在 传输 途中 被 窃取 。 

(3) 维护 数据 的 完整 性 ,确保 数据 在 传输 过 程 中 不 被 改变 。 
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721 SSL 握手 协议 


SSL 握手 协议 是 客户 和 服务 器 开始 通信 时 必须 进行 的 协议 ,握手 协议 有 两 方面 的 作 
用 ,其 一 是 验证 对 方 的 身份 ,其 二 是 协商 在 以 后 传输 加 密 数 据 时 要 使 用 的 会 话 密 钥 ,以 及 
求 MAC 时 所 用 的 密 钥 。 

SSL 握手 协议 一 般 由 5 个 阶段 组 成 : 

(1) 接 通 阶段 (Hello 阶段 )。 

(2) 密 钥 交 换 阶段 。 

(3) 会 话 密 钥 生成 阶段 。 

(4) 认证 阶段 。 

(5) 结束 阶段 。 

图 7.2 是 SSL 握手 协议 的 全 过 程 。SSL 握手 协议 的 具体 步骤 如 下 。 


客户 机 | Cletielo | 服务 器 
点 Server Hello 日 
0 人 
名 建立 安全 能 力 | 
Certificate 
| 


| = 一 Server Key Exchange* 
@ 服务 器 鉴别 和 Certificate Request* 
密 钥 交换 阶段 一 一 Server Hello Done 一 | 


| 


| 一 一 
| 
国 客 户 鉴别 和 密 | Client Key Exchange “| | 时间 
钥 交换 阶段 ertificate Verify | 


Change Ciper Spec 
@ 完成 握手 协议 Finished 

Change Ciper Spec | 
=— Finished 


图 7.2 SSL 握手 协议 的 全 过 程 


1. 接 通 阶段 (Hello 阶段 ) 


1) Client Hello 

客户 端 向 服务 器 发 送 Client-Hello 消息 ,该 消息 中 的 内 容 包 括 客户 端 所 能 支持 的 最 
高 SSL 的 版 本 号 、 所 支持 的 加 密 算法 列表 、session_id 信息 ,一 个 用 于 产生 主 密 钥 的 随机 
数 等 。 这 些 字段 的 具体 内 容 和 含义 如 下 : 

(1) 版 本 信息 。 该 字段 提供 了 客户 端 所 能 支持 的 最 高 SSL 版 本 号 , 它 包 含 两 个 子 字 
段 : 主 版 本 号 (major) 和 次 版 本 号 (minor) ,对 于 SSL V3.0 来 说 ,major 一 3,minor 一 0。 

(2) 所 支持 的 加 密 算法 列表 。 该 字段 中 包含 一 个 客户 端 所 支持 的 加 密 算法 列表 ,用 
于 使 服务 器 了 解 客户 端 所 能 支持 的 密码 算法 ,但 最 终 却 是 由 服务 器 来 决定 使 用 何 种 密码 
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算法 。 

(3) session_id 信息 。 这 是 一 个 32 字 节 的 字符 串 ,代表 客户 端 指示 和 希望 重复 使 用 前 
一 次 连接 时 的 会 话 密 钥 ,而 不 是 重新 产生 新 的 会 话 密 钥 , 如 果 成 功 则 可 以 跳 到 图 7. 2 中 
的 第 四 阶段 ,从 而 加 快 连接 速度 。 

(4) 随机 数 。 由 32 位 的 日 期 时 间 字 段 和 28 位 的 随机 数组 成 。Hello 消息 中 含有 随 
机 数 一 方 面 可 保证 该 消息 不 是 重 放 的 消息 , 另 一 方面 该 随机 数 是 产生 预 主 密 钥 (per- 
master secret) 的 一 个 组 成 部 分 。 

2) Server Hello 

服务 器 收 到 (Client-Hello 消息 ) 后 ,向 客户 端 返回 Server-Hello 消息 。 这 个 消息 与 
Client-Hello 消息 包含 的 字段 是 相同 的 ,但 含义 不 同 。Server-Hello 消息 包含 的 字段 
如 下 : 

(1) 版 本 信息 。 表 示 客 户 机 和 服务 器 支持 的 最 高 SSL 版 本 中 较 低 的 版 本 。 例 如 ,如 
果 客 户 机 支持 SSL 3.0, 而 服务 器 支持 SSL 3. 1, 则 服务 器 选择 3. 0 作为 该 字段 的 值 。 

(2) 加 密 算 法 。 服 务 器 从 客户 端 发 过 来 的 加 密 算法 列表 中 选择 一 种 加 密 算法 。 

(3) session_id 信息 。 服 务 器 在 其 会 话 缓存 中 检查 是 否 有 客户 端 发 来 的 这 个 session_ 
id, 如 果 有 , 则 表明 服务 器 和 客户 端 连接 的 会 话 还 未 失效 ,这 时 服务 器 会 返回 这 个 session 
_id 给 客户 端 ,并 且 双 方 将 使 用 该 会 话 的 会 话 密 钥 进行 通信 。 如 果 服 务 器 的 会 话 缓存 中 
没有 这 个 session_id, 则 服务 器 会 生成 一 个 新 的 session_id 发 给 客户 端 ,以 建立 一 个 新 的 

(4) 随机 数 。 这 个 字段 与 客户 端的 随机 数字 段 结构 相同 ,但 它 是 服务 器 自己 产生 的 
随机 数值 ,与 客户 端 产生 的 随机 数值 没有 任何 关系 , 它 将 和 客户 端 随机 数 一 起 产生 连接 
使 用 的 主 密 钥 。 

接 通 阶 段 完 成 后 ,客户 端 和 服务 器 都 获得 了 对 方 的 随机 数 , 同 时 也 确定 了 在 接 下 来 
通信 时 使 用 的 密码 算法 。 

下 面 是 一 个 SSL 握手 过 程 ( 仅 客户 端 验证 服务 器 的 单 向 认证 ) 的 通俗 描述 ,在 以 下 各 
阶段 的 介绍 中 均 采用 这 个 形式 ,其 中 ,C 表示 客户 端 ,S 表示 服务 器 。 本 阶段 的 步骤 如 下 ， 

C: 我 想 和 你 安全 地 通话 ,我 的 对 称 加 密 算法 有 DES、RC4, 密 钥 交 换算 法 有 RSA 和 
DH ,摘要 算法 有 MD5 和 SHA。 我 的 随机 数 是 ClientHello. random(64 位 ) 。 

S: 我 们 用 DES-RSA-SHA 这 对 组 合 好 了 。 我 的 随机 数 是 ServerHello. random。 


2. 服务 器 鉴别 与 密 钥 交换 阶段 


服务 器 启动 SSL 握手 的 第 二 阶段 。 服 务 器 是 本 阶段 所 有 消息 的 唯一 发 送 方 ,而 客户 
端 是 本 阶段 所 有 消息 的 接收 方 。 本 阶段 分 为 4 步 , 分 别 是 发 送 证 书 、 服 务 器 密 钥 交 换 、 证 
书 请 求 和 服务 器 握手 完成 ,其 中 有 几 步 是 可 选 的 。 

(1) Certificate。 服 务 器 将 它 的 数字 证 书 ( 还 可 以 包括 证 书 到 根 CA 的 整个 证 书 链 ) 
发 送 给 客户 端 ,使 客户 端 能 用 服务 器 的 证 书 鉴别 服务 器 。 

客户 端 鉴别 服务 器 证 书 的 过 程 包括 : 颁发 服务 器 证 书 的 CA 是 否 可 以 信任 ,发 行者 
CA 证书 的 公 钥 能 否 正 确 解 开 服务 器 证 书 中 的 签名 ,服务 器 证 书 上 的 域名 是 否 和 服务 器 
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的 实际 域名 相 匹 配 ,证 书 是 否 过 期 ,证书 是 否 作废 。 这 样 就 验证 了 服务 器 的 证 书 是 否 真 
实 有 效 , 但 还 没有 验证 服务 器 是 否 是 这 张 证 书 的 拥有 者 。 

(2) Server Key Exchange”。 如 果 服 务 器 没有 数字 证 书 或 者 只 有 用 于 签名 的 数字 证 
书 ( 客 户 端 需要 的 是 一 个 用 于 加 密 的 证 书 ), 则 服务 器 可 以 直接 向 客户 端 发 送 一 个 包含 其 
临时 公 钥 的 ServerKeyExchange 消息 ,该 临时 公 钥 一 般 采 用 Diffie-Hellman 算法 生成 并 
分 配给 客户 端 ,因此 这 一 步 是 可 选 的 。 

(3) Certificate Request”。 服 务 器 如 果 想 鉴别 客户 端 , 则 它 向 客户 端 发 出 请 求 客户 
端 数字 证 书 的 消息 ,客户 端 鉴 别 在 SSL 中 是 可 选 的 ,服务 器 不 一 定 要 鉴别 客户 机 ,因此 这 
一 步 也 是 可 选 的 。 

(4) Server Hello Done。 服 务 器 发 出 服务 器 握手 完成 消息 ,通知 客户 端 可 以 执行 第 
三 阶段 的 任务 了 ,这 个 消息 没有 任何 参数 ,发 送 这 个 消息 后 ,服务 器 等 待 客户 端 响应 。 

S: 这 是 我 的 证 书 , 里 面 有 我 的 名 字 和 公 钥 ,你 可 以 用 来 验证 我 的 身份 (把 证 书 发 给 C)。 

C: (查看 证 书 上 S 的 名 字 , 通 过 已 有 的 CA 证 书 来 验证 S 的 证 书 的 真实 性 ,如 果 有 
误 , 发 出 警告 并 断 开 连 接 。) 


3. 客户 端 鉴 别 与 密 钥 交 换 


(1) Certificate” 。 客 户 机 将 它 的 证 书 发 送 给 服务 器 ,这 一 步 是 可 选 的 ,只 有 服务 器 
请 求 客户 机 证 书 时 才 进 行 。 如 果 服 务 器 请 求 客户 机 的 数字 证 书 , 而 客户 机 没有 , 则 客户 
机 发 一 个 no_certificate 的 警告 消息 给 服务 器 ,由 服务 器 决定 是 否 还 继续 。 

(2) Client Key Exchange。 客 户 机 随机 生成 一 个 48 字 节 的 预 主 密 钥 ,用 服务 器 证 书 
中 的 公 钥 加 密 它 ,然后 发 送 给 服务 器 。 之 所 以 用 服务 器 的 公 钥 加 密 , 是 为 了 检验 服务 器 
是 否 拥有 其 证 书 对 应 的 私 钥 。 同 时 ,服务 器 解密 后 就 可 得 到 预 主 密 钥 ,因此 这 一 步 就 完 
成 了 密 钥 交换 。 以 后 服务 器 可 以 用 该 预 主 密 钥 独立 计算 出 主 密 钥 。 

(3) Certificate Verify * 。 证 书 验证 。 只 有 服务 器 要 求 验 证 客户 机 证 书 时 才 需 要 ,这 
一 步 也 是 可 选 的 ,在 这 一 阶段 第 一 步 中 客户 机 已 经 将 它 的 证 书 发 送 给 了 服务 器 ,但 客户 
机 还 需要 向 服务 器 证 明 它 是 该 证 书 的 拥有 者 。 为 此 ,客户 机 用 它 的 私 钥 签名 一 些 信息 ， 
表明 它 是 该 证 书 对 应 私 钥 的 拥有 者 。 客 户 机 首先 把 它 产 生 的 预 主 密 钥 与 在 第 一 阶段 里 
客户 机 产生 的 随机 数 和 服务 器 产生 的 随机 数 三 者 连接 起 来 ,然后 用 MD5 或 SHA-1 算法 
求 散 列 值 ,最 后 把 该 散 列 值 用 其 私 钥 签名 后 ,将 结果 发 送 给 服务 器 。 

C: (随机 生成 一 个 预 主 密 钥 ,将 预 主 密 钥 用 S 的 公 钥 加 密 、 封 装 。 由 于 用 了 S 的 公 
钥 ， 保 证 了 第 三 方 无 法 窃听 。) 我 已 生成 了 一 个 预 主 密 钥 ,并 用 你 的 公 钥 加 密 了 ,给 你 (发 
给 S)。 


4. 完成 阶段 


客户 机 启动 SSL 握手 的 第 四 阶段 ,使 服务 器 结束 。 这 个 阶段 共 4 步 ,前 两 个 消息 来 
自 客户 机 ,后 两 个 消息 来 自 服务 器 。 

(1) Change Cipher Spec。 客 户 机 向 服务 器 发 送 更 改 密码 规范 消息 ,通知 服务 器 以 后 
客户 机 发 送 的 消息 都 将 用 协商 好 的 会 话 密 钥 进 行 加 密 。 
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(2) Finished。 客 户 机 发 送 使 用 协商 好 的 加 密 算 法 和 会 话 密 钥 加 密 的 完成 
(Finished) 报 文 , 这 一 步 用 来 校 验 哪个 客户 端 发 送 了 这 条 完成 报 文 ,以 判断 是 哪个 客户 端 
发 起 了 这 次 会 话 , 它 是 记录 层 用 写 密 钥 和 写 MAC 密 钥 进 行 加 密 和 散 列 运算 得 到 的 第 一 
条 报 文 。 

(3) Change Cipher Spec。 服 务 器 也 向 客户 机 发 送 更 改 密码 规范 消息 ,通知 客户 机 以 
后 服务 器 发 送 的 消息 都 将 用 协商 好 的 会 话 密 钥 进行 加 密 。 

(4) Finished。 服 务 器 发 送 使 用 协商 好 的 加 密 算 法 和 会 话 密 钥 加 密 的 完成 
(Finished) 报 文 ,其 中 包括 主 密 钥 和 会 话 ID ,客户 机 将 服务 器 发 送 来 的 主 密 钥 和 它 计算 
得 到 的 主 密 钥 进 行 比 较 , 如 果 相 同 则 说 明 服 务 器 用 私 钥 解密 成 功 了 加 密 的 预 主 密 钥 , 服 

C: (将 预 主 密 钥 进行 处 理 , 生 成 主 密 钥 ,加密 初 始 化 向 量 和 HMAC 的 密 钥 。) 

S: (用 自己 的 私 钥 将 收 到 秘密 消息 解密 出 来 得 到 预 主 密 钥 ,进行 处 理 , 生 成 加 密 密 
钥 .加 密 初始 化 向 量 和 HMAC 的 密 钥 ,已 安全 协商 出 加 密 办 法 .。) 

C: 注意 ,下 面 我 就 要 用 加 密 的 办 法 给 你 发 消息 了 ! 

C: [Finished] ,该 消息 用 客户 端 写 密 钥 (会 话 密 钥 ) 加 密 。 

S: 注意 ,我 也 要 开始 用 加 密 的 办 法 给 你 发 消息 了 ! 

S: [ 主 密 钥 和 会 话 ID] ,该 消息 用 服务 器 写 密 钥 ( 会 话 密 钥 ) 加 密 。 


5. SSL 所 使 用 的 密 钥 的 生成 过 程 


客户 端 和 服务 器 都 独自 采用 预 主 密 钥 创建 共享 的 主 密 钥 , 这 是 通过 把 预 主 密 钥 和 客 
户 端 随机 数 、 服 务 器 随机 数 一 起 进行 散 列 运 算 完 成 的 。 主 密 钥 用 于 创建 客户 端 和 服务 器 
共享 的 4 个 密 钥 ,如 图 7. 3 所 示 。 这 4 个 密 钥 分 别 是 : 


客户 端 随机 数 预 主 密 钥 服务 器 随机 数 
| 
消息 摘要 算法 
客户 端 随机 数 主 密 钥 服务 器 随机 数 
[ | 
消息 摘要 算法 
密 钥 分 组 
I 
1 i 1 1 
客户 端 写 服务 器 写 客户 端 服务 器 
MAC 密 钥 MAC 密 钥 写 密 钥 写 密 钥 


图 7.3 SSL 握手 协议 中 各 种 密 钥 的 生成 方法 和 过 程 


(1) 客户 端 写 MAC 密 钥 。 这 个 密 钥 将 添加 到 客户 端 消息 中 再 求 散 列 值 ,客户 端 使 
用 此 密 钥 创 建 初 始 散 列 ,服务器 用 它 来 验证 客户 端 消息 的 来 源 。 
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(2) 服务 器 写 MAC 密 钥 。 这 个 密 钥 将 添加 到 服务 器 消息 中 再 求 散 列 值 , 服 务 器 使 
用 此 密 钥 创 建 初始 散 列 ,客户 端 用 它 来 验证 服务 器 消息 的 来 源 。 

(3) 客户 端 写 密 钥 。 客 户 端 使 用 这 个 密 钥 加 密 消息 ,服务 器 使 用 它 解密 客户 端 发 来 
的 消息 ,相当 于 会 话 密 钥 。 

(4) 服务 器 写 密 钥 。 服 务 器 使 用 这 个 密 钥 加 密 消 息 , 客 户 端 使 用 它 解密 服务 器 发 来 
的 消息 ,相当 于 会 话 密 钥 。 

之 所 以 客户 端 和 服务 器 端 发 送 消息 分 别 使 用 不 同 的 密 钥 ,是 为 了 使 每 次 会 话 都 使 用 
不 同 的 密 钥 ,以 增强 安全 性 。 


6. SSL 握手 过 程 的 一 个 例子 


客户 端 浏 览 器 连接 到 Web 服务 器 ,发 出 建立 安全 连接 通道 的 请 求 。 服 务 器 接受 客 
户 端 请 求 ,发 送 服务 器 证 书 作为 响应 。 客 户 端 验证 服务 器 证 书 的 有 效 性 ,如 果 验 证 通过 ， 
则 用 服务 器 证 书 中 包含 的 服务 器 公 钥 加 密 一 个 会 话 密 钥 , 并 将 加 密 后 的 数据 和 客户 端 用 
户 证 书 一 起 发 送 给 服务 器 。 服 务 器 收 到 客户 端 发 来 的 加 密 数 据 后 , 先 验证 客户 端 证 书 的 
有 效 性 ,如 果 验 证 通过 , 则 用 其 私 钥 解 开 加 密 数 据 , 获 得 会 话 密 钥 。 然 后 服务 器 用 客户 端 
证 书 中 包含 的 公 钥 加 密 该 会 话 密 钥 ,并 将 加 密 后 的 数据 发 送 给 客户 端 浏览 器 。 客 户 端 在 
收 到 服务 器 发 来 的 加 密 数 据 后 ,用 其 专用 的 私有 密 钥 解 开 加 密 数据 ,把 得 到 的 会 话 密 钥 
与 原来 发 出 去 的 会 话 密 钥 进行 对 比 , 如 果 两 个 密 钥 一 致 ,说 明 服务 器 身份 已 经 通过 认证 ， 
双方 将 使 用 这 个 会 话 密 钥 建立 安全 连接 通道 。 


722 SSL 记 录 协 议 


SSL 记录 协议 将 数据 流 分 割 成 一 系列 的 片段 并 对 这 些 片段 进行 加 密 来 传输 ,接收 方 
对 每 条 记录 单独 进行 解密 和 验证 。 这 种 方案 使 得 数据 一 经 准备 好 就 可 以 从 连接 的 一 端 
传输 到 另 一 端 ,并 在 接收 到 时 即刻 加 以 处 理 。 

SSL 记录 协议 说 明了 所 有 发 送 和 接收 数据 的 封装 方法 。SSL 记录 协议 的 完整 操作 
过 程 如 图 7.4 所 示 。SSL 记录 的 数据 部 分 包括 : 

。 MAC-data: 认证 数据 ; 

。 Actual-data: 未 进行 封装 之 前 的 实际 数据 ; 

。 Padding-data: 填充 数据 。 

记录 协议 接收 传输 的 应 用 报 文 ,将 报 文 数据 分 片 处 理 成 可 以 管理 的 数据 块 , 然 后 无 
损 压 缩 数据 (可 选 ) ,添加 MAC, 加 密 , 增 加 SSL 记录 报头 ,在 TCP 报 文 段 中 传输 结果 单 
元 。 被 接收 的 数据 被 解密 、 验 证 .解压 和 重新 装配 ,然后 交付 给 更 高 级 的 用 户 。 具 体 步骤 
如 下 : 

(1) 数据 分 块 。 每 个 上 层 报 文 被 分 片 成 24B(16KB) 的 数据 块 或 更 小 。 

(2) 根据 需要 进行 数据 压缩 。 压 缩 必须 是 无 损 (lossless) 的 ,因此 压缩 后 的 密 文 未 必 
比 输入 数据 短 ,这 时 要 求 增加 的 内 容 长 度 不 能 超过 1024B。 在 SSL V3.0( 以 及 TLS 的 当 
前 版 本 ) 中 ,没有 说 明 采 用 何 种 压缩 算法 ,因此 默认 的 压缩 算法 为 空 。 

(3) 对 压缩 数据 计算 消息 鉴别 码 MAC, 这 需要 使 用 双方 在 握手 阶段 共享 的 密 钥 。 
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压缩 


添加 MAC 
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加 密 


附加 SSL 
记录 报头 


图 7.4 SSL 记录 协议 的 操作 


(4) 使 用 同步 加 密 算法 对 加 上 MAC 的 压缩 报 文 进行 加 密 , 加 密 对 内 容 长 度 的 增长 
不 能 超过 1024B, 因 此 总 长 度 不 可 能 超过 2* 十 2048 二 18KB。 

(5) 在 加 密 后 的 报 文 信息 上 添加 一 个 SSL 记录 协议 的 头 ( 首 部 ) ,使 报 文 信息 形成 一 
个 完整 的 SSL 记录 。SSL 记录 头 包含 的 字段 有 数据 类 型 (用 来 处 理 这 个 分 块 的 上 层 协 
议 , 如 Change-cipher-spec、alert、handshake 和 application-data) ,版 本 号 .压缩 后 的 数据 
长 度 。 


723 SSL 协 议 的 应 用 模式 


SSL 协议 主要 应 用 在 加 密 、 认 证 等 场合 ,根据 应 用 场合 的 不 同 ,SSL 协议 的 应 用 模式 
有 以 下 几 种 。 


1. 单 向 认证 


单 向 认证 是 SSL 安全 连接 最 基本 的 模式 ,浏览 器 一 般 都 支持 这 种 模式 。 在 这 种 模式 
下 ,客户 端 没 有 数字 证 书 , 只 有 服务 器 端 才 具 有 证 书 。 例 如 ,用 户 在 使 用 TOM 邮箱 
(mail. tom. com) 时 ,为 防止 用 户 输入 的 邮箱 名 和 邮箱 密码 被 泄露 ,可 以 在 网 页 上 选择 “ 增 
强 安全 ”选项 ,此 时 将 采用 了 SSL 协议 对 用 户 发 送 的 信息 进行 加 密 , 防 止 了 用 户 的 邮箱 被 
盗 。 这 种 情况 下 ,服务 器 并 不 鉴别 用 户 的 身份 ,只 是 保证 用 户 发 送信 息 的 机 密 性 。 


2. 双向 认证 


双向 认证 模式 下 ,通信 双方 都 可 以 发 送 和 接收 SSL 连接 请 求 ,双方 都 需要 安装 数字 
证 书 。 通信 双方 可 以 是 应 用 程序 、 安 全 协议 代理 服务 器 等 。 双 向 认证 模式 可 以 用 于 两 个 
局 域 网 之 间 的 安全 网 关 代理 ,在 两 个 局 域 网 之 间 起 到 类 似 虚 拟 专用 网 的 作用 。 另 外 ,在 
电子 支付 等 一 些 对 安全 要 求 较 高 的 场合 也 需要 双向 认证 ,如 用 户 登 录 支 付 宝 网 站 (www. 
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alipay. com) 时 ,通常 需要 安装 数字 证 书 ,使 网 站 也 能 够 认证 用 户 的 身份 。 
3. 电子 商务 


在 电子 商务 中 ,往往 需要 三 方 (客户 、 商 家 和 银行 ) 参 与 到 交易 活动 中 ,而 SSL 只 能 对 
两 方 的 身份 进行 认证 。 这 个 问题 可 以 通过 进行 多 次 SSL 连接 来 解决 。 最 常见 的 方案 是 ， 
客户 与 银行 (支付 网 关 ) 之 间 的 通信 必须 采用 SSL 协议 ,因为 客户 发 往 银行 的 支付 信息 是 
需要 绝对 保密 的 ,而 且 , 客 户 和 银行 也 需要 相互 认证 身份 。 如 果 需 要 保护 客户 的 购物 隐 
私 , 则 客户 与 商家 的 通信 也 可 以 采用 SSL 连接 ,以 保证 客户 的 订单 信息 不 被 泄露 。 

图 7.5 是 一 个 基于 SSL 协议 的 银行 卡 支付 模式 。 


商户 服务 器 接 目 一 | 第 三 方 支付 平台 收 单 银行 
订单 信息 9 dh 
订单 信息 支付 接口 | 支付 接口 
Mn 
持 卡 人 全 ~ 支付 转 接 f* | 
用 三 去 付 信 息 : 下 号 、 密码 等 


二 基于 SSL 的 支付 过 程 日 


ee 发 卡 银行 


CA 认证 中 心 
7.5 基于 SSL 协议 的 银行 卡 支付 模式 


说 明 : 

@ 商户 服务 器 的 支付 接口 可 以 直接 连接 到 银行 的 支付 网 关 , 这 称 为 直 联 模式 。 也 可 
通过 第 三 方 支付 平台 连接 到 支付 网 关 , 这 称 为 间 联 模式 。 通 常情 况 下 都 采用 第 三 方 支付 
平台 的 间 联 模式 ,这 样 商家 就 不 再 需要 与 每 家 银行 的 支付 网 关 建 立 连接 。 

@ 支付 网 关 在 持 卡 人 支付 完毕 后 会 反 链 到 商户 服务 器 ,并 发 送 一 个 消息 通知 商家 ， 
用 户 已 经 支付 成 功 。 

基于 SSL 的 银行 卡 支付 模式 有 以 下 优点 : 

(1) 支付 指令 不 通过 商家 中 转 。 在 SSL 协议 的 支持 下 ,由 持 卡 人 与 银行 之 间 的 安全 
SSL 通道 传递 支付 指令 。 而 SET 协议 需要 通过 商家 中 转 支付 指令 。 

(2) 使 用 成 本 较 低 。 商 家 和 持 卡 人 不 需要 任何 硬件 或 特殊 的 软件 ,商家 只 需 第 三 方 


支付 平台 提供 支付 接口 。 
(3) 处 理 效 率 高 .廉价 。 只 对 交易 过 程 中 的 支付 信息 进行 加 密 , 第 三 方 支付 平台 集中 
各 银行 的 支付 接口 。 


(4) 应 用 广泛 。 国 内 大 多 数 银行 的 网 上 银行 均 采用 基于 SSL 协议 的 模式 。 
(5) 订单 信息 可 选择 通过 SSL 协议 传递 。 如 果 需 要 保护 客户 的 购物 隐私 , 则 订单 信 
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Hrs sin 


息 也 可 通过 安全 SSL 通道 来 传递 。 
724 为 IS 网 站 启用 SSL 协 议 


IIS 是 Windows 系统 自 带 的 一 个 Web 服务 器 ,默认 情况 下 在 IIS 下 架设 的 网 站 提供 
的 是 HTTP 服务 ,这 意味 着 浏览 器 和 Web 服务 器 (IIS) 之 间 传 输 的 信息 都 是 明文 的 形 
式 。 攻 击 者 通过 安装 监听 程序 可 以 很 容易 地 获得 信息 的 内 容 。 实 际 上 ,IIS 提供 了 对 
SSL 协议 的 支持 ,只 要 启用 SSL 协议 ,浏览 器 和 服务 器 之 间 传 输 的 所 有 数据 都 会 被 加 密 ， 
对 于 像 邮 箱 登 录 、 网 上 银行 等 安全 性 要 求 较 高 的 网 站 来 说 这 是 很 有 必要 的 。 

如 果 要 为 网 站 启用 SSL 协议 (访问 该 网 站 需要 以 https:// 开 头 的 地 址 ) , 则 前 提 是 必 
须 在 服务 器 端 安装 支持 SSL 的 服务 器 证 书 和 在 客户 端 安装 支持 SSL 的 客户 端 证 书 ( 可 
选 )。 很 多 Web 服务 器 都 提供 了 对 SSL 协议 的 支持 ,如 IIS、Tomcat、Apache 等 。 以 IIS 
为 例 , 如 果 在 Windows 2003 中 安装 了 “证 书 服务 ”( 只 有 服务 器 版 本 的 Windows 系统 才 
能 够 安装 此 项 ) ,就 相当 于 使 这 台 机 器 成 为 一 台 在 线 的 CA, 能 够 为 IIS 中 的 网 站 和 客户 端 
浏览 器 颁发 证 书 了 。 对 于 IIS 来 说 ,在 某 个 网 站 的 “属性 ”一 “目录 安全 性 ”中 , 单 击 “ 服 务 
器 证 书 ” 就 可 以 为 该 网 站 向 CA( 本 机 上 的 CA 服务 或 公共 CA) 申 请 证 书 ,然后 将 证 书 安 
装 好 ,并 把 该 证 书 作为 网 站 服务 器 的 证 书 , 就 能 实现 网 站 和 客户 端 之 间 采 用 SSL 进行 安 
全 通信 了 。 

IIS 申请 服务 器 证 书 和 开通 SSL 的 具体 过 程 如 下 : 

(1) 在 JIS 中 ,选择 某 个 网 站 并 右 击 , 在 快捷 菜单 中 选择 “属性 ”, 在 弹出 的 对 话 框 中 
选择 “目录 安全 性 ”标签 页 ,如 图 7.6 所 示 。 单 击 “ 服 务 器 证 书 ” 按 钮 ,就 会 弹出 “欢迎 使 用 
Web 服务 器 证 书 向 导 ” 对 话 框 。 在 向 导 的 第 一 步 中 ,选择 “创建 一 个 新 证 书 ”, 在 第 二 步 
中 ,选择 “现在 准备 请 求 ,但 稍 候 发 送 ”, 这 样 系统 会 把 证 书 请 求 保存 为 一 个 文件 ,可 以 在 
以 后 任何 时 候 把 该 请 求 发 送 给 CA 申请 证 书 ;如 果 已 经 安装 了 “证 书 服务 ”, 则 可 以 选择 立 
即 发 送 请 求 ( 本 例 中 没有 安装 “证 书 服务 ”, 因 此 只 能 选 稍 候 发 送 , 向 公共 CA 申请 证 书 )。 


应 用 IA 
图 7.6 设置 服务 器 证 书 


在 第 三 步 中 ,要 求 输入 新 证 书 的 名 称 和 密 钥 长 度 , 建 议 密 钥 长 度 选择 1024 位 以 上 。 
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在 第 四 至 六 步 中 ,要 求 输入 Web 站 点 的 组 织 信息 .公用 名 称 和 地 理 信息 ,其 中 公用 名 称 
必须 是 该 网 站 在 Internet 上 的 域名 。 

在 第 七 步 ,会 提示 用 户 将 上 述 证 书 请 求 信息 保存 在 一 个 文本 文件 中 (默认 是 c:\ 
certreq. txt) 。 

注意 : 申请 证 书 时 必须 向 CA 提交 用 户 身 份 信 息 和 公 钥 。certreq. txt 文件 实际 上 包 
含 了 IIS 自己 产生 的 公 钥 / 私 钥 对 以 及 上 述 步 骤 中 的 用 户 信息 等 ,并 进行 了 加 密 处 理 。 它 
将 作为 申请 服务 器 证 书 时 向 CA 提交 的 用 户 信息 和 公 铀 信息 。 

(2) 接 下 来 ,将 生成 的 证 书 请 求 信息 certreq. txt 发 送 给 某 个 公共 CA ,以 申请 证 书 。 
访问 中 国 数字 认证 网 (http://www. ca365. com) ,在 首页 中 ,选择 “测试 证 书 ” 下 的 “用 
PKCS10 文件 申请 证 书 ”, 将 打开 如 图 7.7 所 示 的 网 页 。 


申请 测试 证 书 《请 关闭 “网 际 块 车 ”等 自动 下 载 工具 


识别 信息 : 


由 子 凶 件 :一 
网 由 :了 


证 书 期 限 : [三 T 天 司 


证 书 申请 : 
TIDO jCCAqMNCAQAwX zEYMBYGALUEAxMPbGVub3ZvLTNOODI1 MWF diQwwC eYDVo 
[EwIcc2YxDDAKBeNVBAoTAZRz2 jEMMAoGALVUEBxMD c2RnliQwwCerDVQQIEwNcc2 


7.7 向 公共 CA 申请 IIS 服务 器 证 书 


(3) 将 第 七 步 中 所 生成 的 证 书 请 求 信息 文件 certreq. txt 的 内 容 复制 到 图 7.7 页 面 
中 的 “证 书 申请 ” 栏 中 ,并 在 “证 书 用 途 ”" 下 拉 框 中 选择 “服务 器 身份 验证 证 书 ”, 单 击 “ 提 
交 ” 按 钮 ,就 可 以 申请 到 一 个 服务 器 证 书 。 在 接 下 来 的 页 面 中 单 击 “ 下 载 并 安装 证 书 ” 就 
可 以 将 该 证 书 下 载 , 下 载 的 证 书 默认 文件 名 是 NewCert. der。 

(4) 为 IIS 服务 器 配置 证 书 。 在 IIS 中 .仍然 单 击 “ 目 录 安 全 性 ”选项 卡 中 的 “服务 器 
证 书 ” 按 钮 ,这 次 弹出 的 IIS 证 书 向 导 将 和 第 (1) 步 中 的 向 导 不 同 , 在 第 一 步 “ 挂 起 的 证 书 
请 求 中 ”( 图 7. 8) 选 择 “ 处 理 挂 起 的 请 求 并 安装 证 书 ”, 在 第 二 步 (图 7.9) 中 ,选择 刚才 申 
请 到 的 证 书 NewCert. der 文件 ,连续 单 击 “ 下 一 步 ”按钮 直至 单 击 “ 完 成 ”按钮 ,就 为 IIS 的 
网 站 安装 好 服务 器 证 书 了 。 

(5) 为 网 站 启用 SSL。 安 装 证 书后 ,可 发 现 目录 安全 性 的 “安全 通信 ”下 的 “查看 证 
书 ” 和 “编辑 ”按钮 都 可 用 了 。 单 击 “ 编 辑 ” 按 钮 ,在 如 图 7. 10 所 示 “ 安 全 通信 ”对 话 框 中 ， 
选中 “要 求 安全 通道 (SSL)”, 再 选中 “要 求 128 位 加 密 ”, 这 样 就 启用 了 SSL 服务 。 在 “ 客 


挂 起 的 证 书 请 求 


挂 起 的 证 书 请 求 是 证 书 颁发 机 构 还 没有 答复 的 请 求 。 


图 7.8 处 理 挂 起 的 请 求 并 安装 证 书 


IIS 证 书 向 导 
处 理 挂 起 的 请 求 
通过 修复 包含 证 书 颂 发 机 构 的 答复 文件 来 处 理 一 个 挂 起 的 证 书 请 求 。 


图 7.9 为 JS 的 网 站 安装 申请 的 证 书 


户 端 证 书 ” 中 ,默认 是 忽略 客户 证 书 的 ,表示 服务 器 不 需要 验证 客户 端的 证 书 。 


图 7.10 为 JIS 网 站 启用 SSL 服务 


至 此 ,其 他 用 户 就 可 以 采用 SSL 安全 方式 访问 配置 好 SSL 服务 器 证 书 的 Web 站 点 
了 , 即 在 浏览 器 地 址 栏 中 输入 https:// 开 头 的 URL。 这 时 如 果 用 Sniffer 等 抓 包 软件 抓 
取 客 户 端 和 服务 器 之 间 传 送 的 数据 ,就 会 发 现 所 有 数据 都 已 被 加 密 了 。 
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73 SET 忆 改 


在 开放 的 Internet 上 进行 电子 商务 ,首要 的 问题 就 是 保证 参与 交易 各 方 传 输 交易 数 
据 的 安全 。 为 了 满足 电子 交易 日 益 增长 的 安全 需求 ,Visa 和 MasterCard 两 大 信用 卡 公 
司 与 IBM、Microsoft、Netscape、Verisign、Terisa 等 厂商 联合 推出 了 基于 信用 卡 的 在 线 支 
付 电 子 商 务 安全 协议 一 一 安全 电子 交易 协议 (Secure Electronic Transaction ,SET) ,SET 
协议 主要 应 用 于 B2C 电子 商务 系统 , 它 完全 针对 信用 卡 来 制定 ,其 内 容 包 含 了 信用 卡 在 
电子 商务 交易 中 的 交易 协定 、 信 息 保密 和 资料 完整 性 等 方面 。 


731 SET 协议 概述 


SET 协议 是 目前 广泛 使 用 的 一 种 网 络 银行 卡 付款 机 制 , 是 进行 在 线 交 易 时 保证 银行 
卡 安全 支付 的 一 个 开放 协议 。SET 是 保证 在 开放 网 络 上 进行 安全 支付 的 技术 标准 ,是 专 
为 保护 持 卡 人 ,商家 ,发卡 银行 和 收 单 银行 之 间 在 Internet 上 进行 信用 卡 支付 的 安全 交 
易 协 议 。SET 协议 的 目标 是 将 银行 卡 的 使 用 从 商店 的 POS 机 上 扩展 到 消费 者 的 个 人 计 
算 机 中 。 

目前 ,SET 协议 已 成 为 电子 商务 交易 领域 事实 上 的 工业 标准 ,并 获得 了 IETF 的 
认可 。 

SET 协议 主要 是 通过 使 用 密码 技术 和 数字 证 书 来 保证 信息 的 机 密 性 和 完整 性 。 
SET 协议 是 一 个 基于 可 信 第 三 方 认 证 中 心 的 方案 , 它 要 达到 的 主要 目标 如 下 : 

(1) 保证 信息 在 Internet 上 安全 传输 ,SET 能 确保 网 络 上 传输 信息 的 机 密 性 及 完 
整 性 。 

(2) 解决 多 方 身份 认证 的 问题 ,SET 提供 对 交易 各 方 ( 包 括 持 卡 人 、 商 家、 收 单 银行 ) 
的 身份 认证 。 

(3) 保证 电子 商务 各 方 参 与 者 信息 的 隔离 ,客户 的 资料 加 密 或 打包 后 经 过 商家 到 达 
银行 ,但 商家 看 不 到 客户 的 账号 和 口令 信息 ,保证 了 客户 账户 的 安全 和 个 人 隐私 。 

(4) 保证 网 上 交易 的 实时 性 ,使 所 有 的 支付 过 程 都 是 在 线 的 。 

(5) 规范 协议 和 消息 格式 ,使 不 同 厂 家 基于 SET 协议 开发 的 软件 具有 兼容 性 和 互 操 
作 人 性 ,人 允许 在 任何 软 、 硬 件 平 台 上 运行 ,这 些 规范 保证 了 SET 协议 能 够 被 广泛 应 用 。 

(6) 实现 可 推广 性 。SET 协议 是 一 个 具备 易 用 性 和 可 实施 性 的 标准 ,特约 商店 、 持 
卡 人 在 应 用 SET 协议 时 ,不 需要 对 自身 系统 做 较 大 修改 。 人 允许 在 使 用 者 的 应 用 软件 中 
嵌入 付款 协定 的 执行 ,对 收 单 银行 与 特约 商店 、 持 卡 人 与 发 卡 银行 间 的 关系 以 及 信用 卡 
组 织 的 基础 架构 改动 最 少 。 

因此 ,SET 协议 的 主要 目的 是 实现 网 上 交易 数据 的 机 密 性 、 完 整 性 ,保证 交易 的 不 可 
否认 性 和 对 交易 方 的 身份 认证 。 
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732 SET 系 统 的 参与 者 


SET 协议 的 交易 过 程 中 ,需要 有 6 个 角色 参与 , 即 信用 卡 持 有 者 ( 持 卡 人 )、 商 家 ,发 
卡 银行 、 收 单 银行 .支付 网 关 和 认证 中 心 。 这 些 角色 之 间 的 联系 如 图 7. 11 所 示 。 


商家 支付 网 关 


发 卡 银行 
认证 中 心 收 单 银行 


图 7.11 SET 系统 的 基本 组 成 


1. 持 卡 人 


持 卡 人 (card holder) 是 指使 用 信用 卡 进行 电子 商务 交易 的 消费 者 。 他 们 通过 计算 机 
网 络 与 网 上 商家 进行 交易 , 持 卡 人 使 用 发 卡 银行 发 行 的 信用 卡 进 行 结算 ,并 从 认证 中 心 
获取 个 人 的 数字 证 书 。 


2. 商家 


商家 (merchant) 提 供 商品 或 服务 ,在 SET 中 ,商家 为 了 与 持 卡 者 进行 电子 交易 ,必须 
与 相关 的 收 单行 建立 某 种 关系 ,如 在 收 单行 开设 账户 ,才能 收取 持 卡 者 支付 的 货款 。 


3. 发 卡 银行 


发 卡 银行 (issuer) 是 一 个 金融 机 构 ,为 持 卡 者 建立 一 个 账户 并 发 放 支 付 卡 ,发 卡 银行 
保证 只 对 经 过 授权 的 交易 进行 付款 。 

4. 收 单 银行 

收 单 银 行 (acquirer) 也 是 一 个 金融 机 构 ,为 商家 建立 一 个 账户 并 处 理 支 付 卡 授 权 和 
支付 。 一 般 情况 下 ,商家 可 以 接受 多 种 支付 卡 , 但 不 希望 与 多 个 银行 卡 组 织 打 交道 。 收 


单 银行 就 扮演 了 一 个 代理 人 的 角色 。 收 单 银 行 负责 通过 某 种 类 型 的 支付 网 络 (payment 
network) 将 支付 款 转 到 商家 的 账户 中 。 
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5. 支付 网 关 


支付 网 关 (payment gateway) 是 银行 金融 专 网 与 Internet 网 络 之 间 的 接口 ,是 由 银行 
操作 的 将 Internet 上 传输 的 数据 转换 为 银行 内 部 数据 的 一 组 服务 器 ,这 些 数据 是 处 理 电 
子 交 易 时 的 支付 数据 及 持 卡 人 的 支付 请 求 。 实 现 对 支付 信息 从 Internet 到 银行 内 部 网 
络 的 转换 ,其 主要 原理 是 将 不 安全 的 Internet 交易 信息 进行 ISO 8583 银行 数据 格式 转 
换 , 再 进行 加 密 后 传 给 安全 的 银行 专 网 ,起 到 隔离 和 保护 银行 专 网 的 作用 。 支 付 网 关 还 
可 对 商家 和 持 卡 人 进行 认证 。 

当 持 卡 人 支付 成 功 后 ,支付 网 关 会 反 链 到 商家 网 站 ,并 向 商家 网 站 发 送 一 个 加 密 消 
息 通 知 商家 持 卡 人 支付 成 功 。 商 家 收 到 该 付款 确认 后 就 可 安排 发 货 。 


6. 认证 中 心 


认证 中 心 (CA) 是 一 个 负责 发 放 和 管理 数字 证 书 的 权威 机 构 。 在 SET 协议 中 ,认证 
中 心 负责 发 放 或 撤销 持 卡 人 、 商 家 和 支付 网 关 的 数字 证 书 , 让 他 们 可 以 通过 证 书 相 互 
认证 。 

需要 注意 的 是 ,SET CA 的 结构 比较 特殊 ,SET CA 的 第 一 层 为 根 CA, 第 二 层 为 品 
牌 CA( 如 银行 的 CA), 第 三 层 根据 证 书 使 用 者 的 不 同 可 分 为 持 卡 人 CA、 商 家 CA 和 策 
上 CA。 


733 SET 协议 的 工作 流程 
下 面 以 一 个 完整 的 网 上 购物 流程 来 介绍 SET 协议 是 如 何 工作 的 。 
1. 初始 请 求 


(1) 持 卡 人 (顾客 ) 使 用 浏览 器 ,在 商家 的 购物 网 站 上 查看 在 线 商品 目录 ,浏览 商品 信 
息 。 然 后 选择 欲 购买 的 商品 , 放 和 人 购物 车 中 。 

(2) 填写 相应 的 订货 单 (包括 商品 名 称 和 数量 . 送 货 时 间 和 地 点 等 相关 信息 ) 。 

(3) 选择 SET 作为 其 付款 协议 ,然后 单 击 “ 付 款 ” 按 钮 。 

(4) 此 时 浏览 器 会 自动 激活 支付 软件 (如 电子 钱包 ) ,向 商家 发 送 初始 请 求 。 初 始 请 
求 信息 中 包括 持 卡 人 使 用 的 交易 卡 种 类 和 数字 证 书 ,以 及 持 卡 人 的 ID 等 ,以 便 商 家 选择 
合适 的 支付 网 关 。 


2. 初始 应 答 


(1) 商家 收 到 用 户 的 初始 请 求 后 ,会 产生 初始 应 答 信息 。 初 始 应 答 信息 包括 该 笔 交 
易 标识 号 、 商 家 标识 和 支付 网 关 标 识 、 购 买 项 目 和 价钱 等 。 

(2) 用 单 向 散 列 函数 对 初始 应 答 信息 生成 报 文摘 要 ,用 商家 的 私 钥 对 报 文摘 要 进行 
数字 签名 。 

(3) 将 商家 证 书 、 支 付 网 关 证 书 、 初 始 应 答 信 息 、 初 始 应 答 的 数字 签名 等 发 送 给 持 卡 
人 。 因 为 初始 应 答 信息 不 包含 任何 机 密 信息 ,所 以 初始 应 答 信 息 未 加 密 , 但 是 初始 应 答 
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信息 的 数字 签名 可 以 保证 它 不 会 被 算 改 。 
3. 购物 请 求 


(1) 持 卡 人 接收 初始 应 答 ,验证 商家 和 支付 网 关 的 证 书 , 以 确认 这 些 证 书 是 有 效 的 。 

(2) 用 商家 证 书 中 的 公 钥 验证 初始 应 答 信 息 的 数字 签名 ,如 果 验 证 通过 ,一 方面 表明 
初始 应 答 信 息 在 传输 途中 未 被 筑 改 , 另 一 方面 表明 商家 拥有 该 证 书 的 私 钥 ,是 该 证 书 的 
持 有 者 。 

(3) 持 卡 人 检查 初始 应 答 信息 中 的 购买 项 目 和 价钱 正确 无 误 , 向 商家 发 出 购物 请 求 ， 
它 包 含 了 真正 的 交易 行为 。 

购物 请 求 是 SET 协议 中 最 复杂 的 信息 , 它 主要 包含 订单 信息 (OD 和 付款 指示 (PI) 。 
通过 双重 签名 技术 使 商家 只 可 以 看 到 订单 信息 ,而 收 单 银行 只 可 以 看 到 付款 指示 。 这 样 
商家 不 能 看 到 顾客 的 信用 卡 卡号 ,而 银行 也 无 法 看 到 顾客 的 订单 详细 信息 ,从 而 保护 了 
顾客 的 隐私 。 另 一 方面 , 持 卡 人 对 购物 请 求 进行 签名 后 ,就 表明 他 同意 了 这 次 购买 ,日 后 
不 能 再 否认 ,从 而 保证 了 交易 信息 的 不 可 否认 性 。 而 且 OI 和 PI 必须 捆绑 在 一 起 发 送 给 
商家 。 如 果 单 独 发 送 这 两 个 信息 给 商家 ,而 商家 又 能 获得 这 个 顾客 的 其 他 OI, 那 么 商家 
就 可 以 声称 其 他 某 个 OI 是 和 这 个 PI 一 起 来 的 ,而 不 是 原来 那个 OI。 双 重 签名 的 过 程 如 
图 7.12 所 示 。 


用 户 的 私 钥 KR。 
H(OP) 
上 -人 @ 


sign(H(OP)) 
7.12 双重 签名 的 过 程 


在 图 7.12 中 ,顾客 使 用 SHA-1 算法 ,取得 OI 和 PI 的 散 列 码 。 接 着 将 这 两 个 散 列 
码 连接 起 来 ,再 求 一 次 散 列 码 ,并 用 自己 的 私 钥 KRec 加 密 , 就 产生 了 双重 签名 ,这 个 过 程 
可 以 用 下 面 的 式 子 表 示 : 

sign(H(OP)) = Exrr. (HCH(OD |‖ H(PD)) 

为 了 让 商家 和 银行 验证 双重 签名 ,顾客 C 将 消息 { OI, 有 H(PD ,sign(H(OP)) } 发 给 
商家 M., 将 消息 {PI,H(OD ,sign(H(OP))} 发 给 银行 B, 如 图 7.13 所 示 。 商 家 M 验证 双 
重 签名 时 ,首先 计算 OI 的 消息 摘要 得 到 电 (OD ,然后 将 瑟 (OD) 与 消息 中 的 (PD) 进行 
连接 ,再 求 散 列 值 就 得 到 电 (OP), 最 后 用 C 的 公 钥 解密 sign(H(OP)), 得 到 另 一 个 
于 (OP) ,如 果 这 两 个 了 H(OP) 相 同 , 就 证 明 数 据 在 传输 途中 未 被 自 改 ,而 且 顾 客 有 其 证 书 
对 应 的 私 钥 。 

但 实际 上 ,OI 在 传输 途中 不 能 被 第 三 方 看 到 ,因此 必须 对 顾客 C 发 给 商家 M 的 信息 
进行 加 密 ,通常 采用 数字 信封 的 方式 ,顾客 C 用 商家 M 的 公 钥 加 密 一 个 对 称 密 钥 , 再 用 
该 对 称 密 钥 加 密 消息 {OI, 太 (PD ,sign( 互 COP))} 发 送 给 商家 。 
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OL,H(P1),sign(H(OP))} 的 密 文 
A 一 M( 而 家) 
{PLAH(OD,sign(H(OP))} 的 密 文 一 一 一 一 一 一 
顾客 C 一 | _B( 银 行 ) 


7.13 顾客 发 送 的 含有 双重 签名 的 购物 请 求 


实际 上 ,顾客 是 不 能 直接 给 银行 (支付 网 关 ) 发 送 付款 指示 消息 的 ,他 只 能 将 消息 
发 给 商家 ,再 由 商家 转发 给 银行 。 因 此 ,他 必须 将 发 给 银行 的 消息 {PI, 互 (OI)， 
sign( 昌 (OP))} 用 支付 网 关 的 公 和 钥 加 密 . 与 发 给 商家 的 消息 一 起 发 给 商家 。 这 样 ,商家 收 
到 后 只 能 解密 自己 的 信息 ,而 不 能 解密 需 转发 给 支付 网 关 的 信息 ,因为 它 没有 支付 网 关 
的 私 钥 。 因 此 ,购物 请 求 包 括 3 方面 的 内 容 : 
(1) 与 订购 相关 的 信息 ,此 信息 是 商家 需要 的 ,其 组 成 如 下 : 
{订单 信息 OI, 付 款 摘要 五 (PI) ,双重 签名 } 
(2) 与 付款 相关 的 信息 ,此 信息 将 由 商家 转发 给 支付 网 关 , 其 组 成 如 下 : 
{付款 指示 PI, 订 单 摘要 态 (OD ,双重 签名 } 
然后 将 这 些 信息 用 支付 网 关 的 公 钥 采用 数字 信封 的 形式 加 密 。 
(3) 顾客 的 数字 证 书 。 商 家 可 以 从 数字 证 书 中 获得 顾客 的 公 钥 。 
当 商 家 接收 到 购物 请 求 后 , 它 将 执行 如 图 7. 14 所 示 的 步骤 验证 购物 请 求 。 


购 入 请 污 、， = 


| 
付款 摘要 HPD 


双重 签名 “| ; | 
sign(H(OP)) HH 解密 , 


顾客 C | | HOP)| ; 

应 顾客 C 的 证 书 | 一 一 | C 的 公 钥 : 
付款 指示 PI 

二 商家 转发 


双重 签名 给 支付 网 关 
sign(H(OP)) 
人 


加 


Ns KRB 


图 7.14 顾客 提交 的 购物 请 求 及 商家 验证 购物 请 求 的 过 程 


4. 商家 发 出 支付 授权 请 求 给 支付 网 关 


1) 商家 收 到 顾客 的 购物 请 求 后 , 先 验证 顾客 的 数字 证 书 , 如 通过 , 则 继续 。 
2) 用 商家 的 私 钥 解 密 订 单 信息 OI, 并 提取 顾客 C 证 书 中 的 公 钥 验证 双重 签名 ,检查 
数据 在 传输 过 程 中 是 否 被 算 改 。 如 数据 完整 , 则 处 理 订 单 信息 。 商 家 核对 购物 请 求 的 全 
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过 程 ,如 图 7. 14 所 示 。 

3) 商家 产生 支付 授权 请 求 ( 即 商家 同意 交易 的 标识 )。 商 家 将 支付 授权 请 求 用 散 列 
算法 生成 报 文摘 要 ,并 对 报 文摘 要 进行 签名 ,然后 用 支付 网 关 的 公 钥 加 密 支 付 授权 请 求 
(采用 数字 信封 方式 加 密 ) 。 

4) 商家 将 其 证 书 、 支 付 授权 请 求 的 密 文 、 商 家 对 支付 请 求 的 签名 及 持 卡 人 通过 商家 
转发 的 双重 签名 等 信息 发 往 支付 网 关 。 商 家 向 支付 网 关 发 送 的 支付 授权 信息 如 下 

(1) 商家 从 顾客 发 来 的 购物 请 求 中 获得 的 信息 , 即 用 支付 网 关公 钥 加 密 的 {PI， 
H(OD ,sign(H(OP))}, 

(2) 由 商家 生成 的 支付 授权 请 求 ,包括 支付 授权 请 求 和 商家 的 签名 。 

(3) 证 书 , 包 括 顾客 的 数字 证 书 ( 用 于 验证 双重 签名 )、 商 家 的 数字 证 书 ( 用 于 验证 商 
家 对 支付 授权 请 求 的 签名 ) 以 及 商家 的 密 钥 交换 证 书 ( 在 支付 网 关 的 应 答 中 用 来 加 密会 
话 密 钥 形 成 数字 信封 ) 。 


5. 支付 网 关 验 证 支付 授权 请 求 并 向 发 卡 银行 发 送 支付 授权 请 求 


(1) 支付 网 关 收 到 商家 的 支付 授权 请 求 信息 后 ,验证 过 程 如 图 7.15 所 示 。 它 首先 验 
证 商家 证 书 , 再 验证 商家 的 签名 ,最 后 查看 商家 是 否 在 黑 名 单 内 。 具 体 是 : 支付 网 关 用 其 
私 钥 解 密 支付 授权 请 求 密 文 ,并 验证 商家 对 支付 授权 请 求 的 签名 ,如 果 能 用 支付 请 求 的 
明文 重新 设计 该 签名 , 则 表明 支付 授权 请 求 未 被 自 改 。 

(2) 支付 网 关 验 证 持 卡 人 的 证 书 。 然 后 用 其 私 钥 解 密 {PI,H(OD ,sign( 互 (OP)) /的 
密 文 ,得 到 付款 指示 PI。 接 着 用 这 些 信 息 验 证 双重 签名 ,此 过 程 和 商家 验证 双重 签名 类 
似 。 验 证 成 功 则 证 明 付款 指示 PI 未 被 算 改 过 。 

(3) 验证 来 自 商家 的 交易 标识 与 来 自持 卡 人 的 付款 指示 PI 中 的 交易 标识 是 否 匹配 ， 
若 匹 配 , 说 明 是 同一 个 交易 , 则 支付 网 关 产 生 一 个 支付 授权 请 求 。 

(4) 支付 网 关 通 过 银行 专用 网 向 持 卡 人 所 属 的 发 卡 银行 发 送 支付 授权 请 求 。 


- 
付款 指示 PI 2 支付 网 关 
订单 摘要 H(OD 一 (连接 广 一 | OP' 一 | H(OP’ ) 
ER 大 个 sign(UXOP)|~( 解 密 
KRE 回 
H(OP) 
顾客 C 的 公 钥 
顾客 C 的 证 书 
支付 网 关 
支付 授权 密 文 的 私 角 支付 授权 信息 
商家 的 签名 二 商 康 直人 多 
商家 的 证 书 | 


图 7.15 支付 网 关 核 对 付款 请 求 指示 的 过 程 
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6. 发 卡 银行 对 支付 授权 请 求 应 答 


发 卡 银行 在 收 到 支付 网 关 的 支付 授权 请 求 后 ,检查 持 卡 人 的 信用 卡 是 否 有 效 。 若 有 
效 , 则 发 卡 银行 批准 交易 ,并 向 支付 网 关 发 出 支付 授权 应 答 。 


7. 支付 网 关 向 商家 发 送 支付 授权 应 答 


支付 网 关 产 生 支付 授权 应 答 信 息 , 包 括 发 卡 银行 的 响应 信息 和 支付 网 关 的 证 书 等 ,并 
将 其 用 商家 密 钥 交换 证 书 中 的 公 钥 加 密 形 成 数字 信封 。 将 发 卡 银行 的 响应 信息 用 其 私 钥 
加 密 ,作为 支付 授权 应 答 信 息 发 给 商家 。 以 通知 商家 持 卡 人 已 经 付款 成 功 , 商 家 以 后 可 以 
使 用 支付 授权 应 答 信 息 要 求 支付 网 关 将 此 笔 交 易 款 项 从 持 卡 人 账户 转 到 商家 账户 。 


8. 商家 向 持 卡 人 发 送 购物 应 答 


(1) 商家 验证 支付 网 关 的 证 书 , 并 用 证 书 中 的 公 钥 解 密 支 付 授权 应 答 ,再 验证 支付 网 
关 的 数字 签名 ,以 确认 支付 授权 应 答 报 文 未 被 自 改 过 。 

(2) 商家 产生 购物 应 答 ,对 购物 应 答 生成 报 文摘 要 ,并 签名 。 

(3) 将 商家 证 书 、 购 物 应答 .数字 签名 一 起 发 给 持 卡 人 。 


9. 持 卡 人 接收 并 处 理 商 家 订单 确认 信息 


(1) 持 卡 人 收 到 购物 应 答 后 ,验证 商家 证 书 。 

(2) 验证 通过 后 ,对 购物 应 答 产 生 报 文摘 要 ,用 商家 公 钥 解 开 数字 签名 ,得 到 原始 报 
文摘 要 ,将 其 与 新 产生 的 报 文摘 要 进行 比较 ,相同 则 表示 数据 完整 。 

(3) SET 软件 记录 交易 日 志 , 以 备 将 来 查询 。 

(4) 持 卡 人 等 待 商 家 发 货 , 若 未 收 到 货 , 则 可 赁 交易 日 志向 商家 发 出 询问 。 

10. 商家 发 货 并 结算 

商家 委托 物流 公司 发 送 货 物 给 持 卡 人 ,并 在 适当 的 时 候 通知 收 单 银 行将 钱 从 持 卡 人 
的 账号 转移 到 商家 账号 ,或 通知 发 卡 银行 请 求 支付 , 即 完成 货款 结算 。 

整个 SET 协议 的 购物 流程 如 图 7. 16 所 示 ,其 中 CA 负责 对 SET 各 方 身份 的 认证 。 
@ 初 始 请 求 
持 | 四 初始 应 答 
卡 


人 | 购物 请 求 .| 家 | @ 支 付 授权 应 答 | 网 |@ 支 付 应 答 
加 购物 应 答 = - 


图 支付 授权 请 求 | 支 |@ 支 付 请 求 


村 区 攻 于 


认证 审核 | 批准 


ne 发 卡 银行 


图 7.16 SET 协议 的 购物 流程 
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734 对 SET 协议 的 分 析 


SET 协议 具有 如 下 一 些 特点 : 

(1) 交易 参与 者 的 身份 认证 采用 数字 证 书 的 方式 来 完成 ,同时 交易 参与 者 用 其 私 钥 
对 有 关 信 息 进行 签名 也 验证 了 他 是 该 证 书 的 拥有 者 。 

(2) 交易 的 不 可 否认 性 采用 数字 签名 的 方法 实现 ,由 于 数字 签名 是 由 发 送 方 的 私 钥 
产生 的 ,而 发 送 方 私 钥 只 有 他 本 人 知道 ,因此 发 送 方 不 能 对 其 发 送 过 的 交易 信息 进行 
抵赖 。 

(3) 用 报 文摘 要 算法 ( 散 列 函 数 ) 来 保证 数据 的 完整 性 ,从 而 确保 交易 数据 没有 遭 到 
过 算 改 。 

(4) 由 于 公 钥 加 密 算法 的 运算 速度 慢 ,SET 协议 中 普遍 使 用 数字 信封 技术 ,用 对 称 
加 密 算 法 来 加 密 交 易 数据 ,然后 用 接收 方 的 公 钥 加 密 对 称 密 钥 ,形成 数字 信封 。 

完成 一 个 SET 协议 交易 过 程 需 传递 数字 证 书 7 次 ,验证 数字 证 书 9 次 ,进行 5 次 数 
字 签 名 ,验证 数字 签名 6 次 ,进行 4 次 对 称 加 密 和 4 次 非 对 称 加 密 , 进 行 4 次 对 称 解密 和 
4 次 非 对 称 解密 。 具 体 统计 如 表 7.1 所 示 。 


表 7.1 SET 交易 过 程 中 各 种 处 理 操作 统计 表 (单位 : 次 ) 
传递 数字 验证 数字 验证 对 称 非 对 称 对 称 非 对 称 
者 证 书 证 书 | 签名 | 签名 | 加 密 | 加 密 | 解密 | 解密 
持 卡 人 1 3 1 2 1 1 
商家 3 3 2 由 1 2 2 
支付 网 关 有 3 1 2 2 2 多 
合 计 7 9 5 6 4 4 4 4 
SET 协议 交易 流程 有 以 下 不 足 : 


(1) SET 协议 运行 机 制 复杂 ,使 用 成 本 较 高 ,从 而 给 该 协议 的 推广 和 普及 带 来 了 困 
难 。 有 被 3-D Secure 协议 取代 的 趋势 。 

(2) 参与 交易 的 实体 多 ,难以 协调 。SET 协议 涉及 持 卡 人 、 商 家 ,支付 网 关 、 银 行 等 
众多 经 济 实体 ,协调 难度 大 , 互 操 作 性 差 。 

(3) 交易 证 据 不 可 留存 。SET 技术 规范 没有 提 及 在 事务 处 理 完成 后 如 何 安全 地 保 
存 或 销毁 此 类 交易 数据 。 

(4) SET 的 证 书 格式 较 特 殊 ,虽然 也 遵循 X. 509 标准 ,但 它 主要 是 由 Visa 和 Master 
Card 开发 并 按 信用 卡 支付 方式 来 定义 的 ,限制 了 其 他 支付 方式 的 使 用 。 

除 此 之 外 ,SET 协议 所 应 用 的 范围 也 受到 限制 ,目前 只 有 B2C 商务 可 以 支持 SET 协 
议 模 式 ,不 能 用 于 B2B 商务 。 同 时 , 当 涉 及 B2C 商务 时 ,该 协议 只 能 在 某 些 领域 里 的 卡 
支付 业务 中 发 挥 作 用 ,不 能 被 广泛 应 用 。 
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74 3D Secue 忱 玉 及 各 种 过 玉 有 的 比较 


741 3-D Secure 协 议 


针对 SET 协议 实施 成 本 高 处理 效率 低 的 缺陷 (尽管 很 安全 ),2001 年 ,Visa 公司 提 
出 了 新 一 代 的 全 球 通用 支付 标准 3-D Secure。 目前 ,基于 3-D Secure 的 在 线 支付 系统 在 
国外 已 经 普遍 使 用 ,全 世界 有 9000 家 银行 .2. 9 亿 信 用 卡 已 经 采用 此 种 认证 标准 。 在 我 
国 ,3-D Secure 还 处 于 起 步 阶段 ,只 有 民生 银行 开始 了 3-D Secure 的 试用 。 


1. 3 个 区 域 


3-D Secure 把 现行 信用 卡 交易 架构 分 为 3 个 区 域 (domain): 

1) 发 卡 银行 区 域 (issuer domain) 

发 卡 银行 区 域 包括 持 卡 人 、 持 卡 人 浏览 器 .发 卡 行 和 接 和 人 控制 服务 器 (Access 
Control Server,ACS) , 它 主要 定义 持 卡 人 与 发 卡 银行 之 间 如 何 联系 。 它 的 主要 职责 是 ， 
加 持 卡 人 在 注册 时 认证 其 身份 ; @ 在 线 支付 时 认证 持 卡 人 的 身份 。 

2) 收 单 银行 区 域 (acquirer domain) 

收 单 银 行 区 域 包括 商家 、 商 家 服务 器 的 插件 (Merchant server plug-In, MPT) \ 收 单行 
(支付 网 关 )。 它 主要 定义 商家 与 收 单 银行 之 间 的 联系 。 它 的 主要 职责 是 : 定义 过 程 以 
确保 参与 Internet 交易 的 商家 的 活动 符合 其 与 收 单 银行 之 间 的 协定 ; @ 为 已 认证 的 交易 
提供 事务 处 理 。 

3) 互 操作 区 域 (interoperability domain) 

互 操 作 区 域 用 来 支持 收 单 银行 区 域 与 发 卡 银行 区 域 之 间 的 联系 。 该 区 域 采 用 共有 
的 协议 及 共享 的 服务 简化 收 单 银行 区 域 与 发 卡 银行 区 域 之 间 的 事务 交易 。 包 括 的 实体 
有 目录 服务 器 (DS)、 验 证 历史 服务 器 (authentication history server)、 授 权 系 统 (Visa 
net) 和 商业 证 书 颁发 机 构 。 


2. 3-D Secure 的 工作 机 制 


3-D Secure 协议 主要 包含 两 部 分 : 持 卡 人 注册 流程 和 购物 流程 。 

1) 持 卡 人 注册 流程 

(1) 持 卡 人 访问 发 卡 行 的 注册 网 站 的 “Visa 验证 服务 ?的 注册 网 页 (或 者 到 发 卡 银行 
的 柜台 登记 ) 。 

(2) 按 指示 输入 Visa 卡 的 资料 (卡号 ` 有 效 日 期 等 )。 设 置 “密码 ”和 "个 人 保障 信 
息 ”, 作 为 对 身份 的 确认 。 

(3) 注册 记录 将 传递 到 发 卡 行 的 ACS 服务 器 ,为 以 后 验证 作 准 备 。 

2) 购物 流程 

(1) 持 卡 人 浏览 商家 网 站 ,选择 商品 ,然后 确认 用 信用 卡 购买 并 输入 卡号 ,系统 就 会 
发 送 持 卡 人 的 卡号 给 商家 。 
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.1 全 应 几 


(2) MPI 将 卡号 送 到 Visa 目录 服务 器 ,以 验证 注册 请 求 。 

(3) 如 果 卡 号 在 3-D Secure 协议 参与 者 的 卡号 范围 内 , Visa 目录 服务 器 根据 卡号 范 
围 查询 相应 的 ACS, 以 确定 该 卡 是 否 可 以 得 到 验证 。 

(4) ACS 将 验证 结果 和 自己 的 网 址 反馈 给 Visa 目录 服务 器 。 

(5) Visa 目录 服务 器 将 反馈 信息 发 送 到 MPI。 

(6) 提供 验证 转 接 。MPI 将 付款 人 验证 请 求 信息 通过 持 卡 人 的 设备 提供 给 ACS 。 

(7) ACS 收 到 付款 人 验证 请 求 后 .弹出 窗口 。 

(8) ACS 验证 付款 人 的 请 求 ( 密 码 ,个 人 保障 信息 )。 

(9) ACS 验证 购物 者 后 ,生成 付款 人 验证 反馈 信息 并 进行 数字 签名 ,同时 将 有 关 信 
息 发 给 Visa 得 到 认证 历史 服务 器 。 

(10) ACS 通过 购物 者 的 设备 ,将 付款 人 验证 反馈 信息 返回 给 商家 。 

(11) MPI 收 到 付款 人 验证 反馈 信息 后 ,检验 该 消息 中 签名 的 合法 性 (验证 签名 )。 

(12) 商家 继续 处 理 , 将 授权 信息 发 送 给 收 单 银行 (请 求 授权 ) 。 


742 SSL 与 SET 协议 的 比较 


SET 是 应 用 于 Internet 上 的 以 信用 卡 为 基础 的 安全 电子 交易 协议 ,是 针对 信用 卡 在 
Internet 上 如 何 安全 付款 而 制订 的 交易 应 用 协议 ,而 SSL 仅仅 是 一 个 数据 传输 的 安全 协 
议 , 它 只 是 为 了 确保 通信 双方 信息 安全 传输 而 制订 的 协议 。 也 就 是 说 ,SET 是 电子 商务 
交易 的 专用 协议 ,而 SSL 是 保证 Web 安全 的 一 个 通用 协议 。 可 以 从 如 下 几 方 面 对 这 两 
个 协议 进行 比较 。 

1. 用 户 接 口 


SSL 协议 已 经 被 浏览 器 和 Web 服务 器 内 置 ,因此 无 须 安装 专门 的 SSL 软件 ;而 SET 
协议 中 客户 端 需要 安装 专门 的 电子 钱包 软件 ,在 商家 服务 器 和 银行 网 络 上 也 需 安装 相应 
的 软件 。 


2. 处 理 速度 


SET 协议 非常 复杂 ,庞大 ,处 理 速 度 慢 。 一 个 典型 的 SET 交易 过 程 需 验 证 数字 证 书 
9 次 ,验证 数字 签名 6 次 ,传递 证 书 7 次 ,进行 5 次 数字 签名 、4 次 对 称 加 密 和 4 次 非 对 称 
加 密 ,整个 交易 过 程 可 能 需 花 费 2 分 钟 ;而 SSL 协议 则 简单 得 多 ,处 理 速度 比 SET 协 
议 快 。 

3. 认证 要 求 

SSL V3.0 可 以 通过 数字 证 书 和 签名 实现 浏览 器 和 服务 器 之 间 的 相互 身份 认证 ,但 
不 能 实现 多 方 认 证 ,而且 SSL 中 只 有 对 服务 器 的 认证 是 必需 的 ,对 客户 端的 认证 是 可 选 


的 。 相 比 之 下 ,SET 协议 对 身份 认证 的 要 求 较 高 ,所 有 参与 SET 交易 的 成 员 都 必须 申请 
数字 证 书 , 并 且 解 决 了 客户 与 银行 .客户 与 商家 、 商 家 与 银行 之 间 的 多 方 认 证 问题 。 
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4. 安全 性 


安全 性 是 网 上 交易 最 关键 的 问题 。SET 协议 由 于 采用 了 公 钥 加 密 、 消 息 摘要 和 数字 
签名 ,可 以 确保 交易 信息 的 完整 性 、 保 密 性 、 可 鉴别 性 和 不 可 否认 性 , 且 SET 协议 采用 了 
双重 签名 来 保证 各 参与 方 信息 的 相互 隔离 ,使 商家 只 能 看 到 持 卡 人 的 订单 信息 ,而 银行 
只 能 看 到 持 卡 人 的 信用 卡 信息 。SSL 协议 虽然 也 采用 了 公 钥 加 密 、 消 息 摘 要 和 MAC 检 
测 ,可 以 提供 保密 性 .完整 性 和 一 定 程度 的 身份 鉴别 功能 ,但 缺乏 一 套 完整 的 认证 体系 ， 
不 能 提供 抗 抵赖 功能 。 因 此 ,SET 的 安全 性 比 SSL 的 安全 性 明显 要 高 。 


5. 协议 层次 和 功能 


SSL 属于 传输 层 的 安全 技术 规范 , 它 不 具备 电子 商务 的 商务 性 、 协 调 性 和 集成 性 功 
能 ,而 SET 协议 位 于 应 用 层 , 它 不 仅 规范 了 整个 电子 商务 活动 的 流程 ,而 且 制 订 了 严格 
的 加 密 和 认证 标准 ,具有 商务 性 ,协调 性 和 集成 性 功能 。 
表 7. 2 对 分 别 采 用 SSL 和 SET 协议 购物 的 过 程 进行 了 对 比 。 
表 7.2 SSL 协议 和 SET 协议 的 比较 
比较 内 容 SSL SET 


因为 非 应 用 层 协 议 , 所 以 无 应 用 上 的 限制 , 目 
应 用 方面 前 多 应 用 在 以 Web 网 站 为 基础 的 网 络 银行 、| 目前 只 能 应 用 于 银行 的 信用 卡 上 
网 上 证 券 .网 络 购物 上 


可 选择 有 或 没有 (取决 于 商家 所 连接 的 
可 有 可 无 ,因为 对 客户 端的 认证 是 可 选 的 支付 网 关 ) ,但 目前 若 采 用 SET, 通 常 都 
要 求 客户 端 有 数字 证 书 


客户 端 证 书 
需求 


无 特别 的 PKI 规范 ,只 要 客户 端 可 以 确认 服 


| > 以 须 且 其 
PK1 规 范 ”| 务 吕 使 用 的 证 书 直 实 有 效 , 即 可 建立 双方 的 | 有明 殉 的 PKI 规范 ,必须 是 专 为 菜 个 


SET 应 用 建立 的 PKI 


安全 通信 
身份 认证 ”| 只 能 单 向 或 双向 认证 可 多 方 认证 
器 密 的 信息 | 有 ,建立 点 对 点 的 秘密 信道 , 且 对 所 有 的 消息 有, 且 可 以 针对 某 一 特定 交易 信息 进行 
让 息 | 加 密 加 密 ,如 只 加 密 表 单 中 的 信息 
完整 性 。 | 消息 均 有 MAC 保护 利用 SEA 如 合 笋 寺 入 556 由 的 从 完 委 
的 完整 性 
。 ,| 无 , 昌 可 通过 数字 签名 做 身份 识别 ,但 非 应 用 | 、， 本 
交易 信息 来 | 层 协议 ,无 法 针对 某 个 应 用 层 的 交易 信息 进 | 有 * 通 过 交易 信息 发 送 方 的 数字 签名 来 
源 识别 “| 全 验证 
行 数字 签名 
无 ,因为 所 有 要 传输 的 信息 均 以 对 称 密 钥 进 | ， 
抗 抵 奈 性 | 亏 轴 开元 二 实现 不 可 本 从 性 有 ,通过 数字 签名 来 验证 
风险 性 责任 
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全 sraxsean 


通过 以 上 分 析 可 以 看 出 ,SET 从 技术 和 流程 上 都 优 于 SSL, 在 电子 交易 环节 上 提供 
了 更 大 的 信任 度 、 更 完整 的 交易 信息 、 更 高 的 安全 性 和 更 少 受 欺 诈 的 可 能 性 ,但 是 SET 
的 实现 成 本 也 高 , 互 操作 性 差 , 且 实现 过 程 复杂 ,所 以 还 有 待 完善 。 


743 SdL 在 网 上 银行 的 应 用 案例 


由 于 SSL 协议 的 成 本 低 , 速 度 快 ,使 用 简单 ,对 现 有 网 络 应 用 系统 不 需要 进行 大 的 修 
改 , 因 此 目前 取得 了 广泛 的 应 用 。 但 随 着 电子 商务 规模 的 扩大 ,网 络 欺诈 的 风险 性 也 在 
提高 ,在 未 来 的 电子 商务 中 SET 协议 将 逐步 占据 主导 位 置 。 

实际 上 ,SSL 一 开始 并 不 是 为 支持 电子 商务 而 设计 的 ,而 是 后 来 为 了 克服 其 局 限 性 
而 在 原来 的 基础 上 发 展 了 PKI, 使 其 也 能 支持 电子 商务 应 用 。 然 而 ,SSL 的 功能 完成 得 
非常 圆满 ,目前 ,很 多 银行 和 电子 商务 解决 方案 提供 商 还 在 考虑 使 用 SSL 构建 更 多 的 安 
全 支付 系统 ,但 是 如 果 没 有 客户 端 软件 的 支持 ,基于 SSL 的 系统 不 可 能 实现 SET 这 种 专 
用 银行 卡 支付 协议 所 能 达到 的 安全 性 。 


1. SSL 和 SET 的 选择 依据 分 析 


SSL 主要 是 和 Web 应 用 一 起 工作 ,对 于 一 些 简单 的 电子 商务 应 用 ,SSL 也 能 实现 ， 
因此 如 果 电 子 商务 应 用 只 是 通过 Web 或 是 电子 邮件 , 则 可 以 不 要 SET。SET 是 为 信用 
卡 交易 提供 安全 ,如 果 电 子 商务 应 用 是 一 个 涉及 多 方 交易 的 过 程 , 则 使 用 SET 会 更 安 
全 ,更 通用 。 

因此 ,如 果 存 在 如 下 两 种 情况 ,最 好 选择 SET 协议 

(1) 消费 者 要 将 信用 卡 账号 信息 传递 给 商家 。 

(2) 交易 涉及 多 方 参与 ,而 不 是 消费 者 和 商家 双方 。 

SET 和 SSL 还 可 以 结合 起 来 使 用 ,例如 ,有 的 商家 考虑 在 与 银行 连接 中 使 用 SET， 
而 与 客户 连接 时 仍然 使 用 SSL。 这 种 方案 既 回 避 了 在 客户 机 器 上 安装 电子 钱包 软件 的 
麻烦 ,同时 又 获得 了 SET 提供 的 很 多 优点 。 


2. SSL 协议 网 上 银行 的 案例 


在 我 国 , 几 乎 每 家 银行 都 开通 了 网 上 银行 。 其 中 ,建设 银行 .工商 银行 ,农业 银行 和 
中 信和 银行 .招商 银行 的 网 银 采 用 的 是 SSL 方案 ,而 中 国 银 行 的 网 上 银行 采用 的 是 SET 协 
议 。 这 使 得 用 户 需要 安装 “中 银 电子 钱包 ”软件 才能 在 中 国 银行 约定 的 网 上 商家 处 购物 ， 
而 采用 SSL 协议 的 网 银 和 其 他 支付 网 站 (如 支付 宝 ) 则 无 此 要 求 。 

以 招商 银行 的 网 上 银行 “一 网 通 "为 例 ,招商 银行 CA 系统 用 于 Web 服务 器 的 SSL 
公开 密 钥 证 书 , 也 可 以 为 客户 的 浏览 器 颁发 证 书 , 在 SSL 协议 的 对 称 密 钥 交换 过 程 中 加 
密 密 钥 参数 。 今 后 会 开发 其 他 的 密码 服务 ,并 在 国家 有 关 部 门 规定 下 开展 公开 密 钥 证 书 
服务 。CA 系统 处 于 非 联机 状态 ,运行 CA 的 服务 器 在 私有 网 上 ,用 户 不 能 通过 Internet 
访问 。CA 会 在 Web 服务 器 上 提供 查询 和 客户 证 书 申请 接口 RA, 用 户 可 以 查询 证 书 状 
态 ,提交 证 书 请 求 。Web 服务 器 运行 CA 数据 库 的 一 个 独立 副本 ,与 CA 并 没有 网 络 连 
接 。 这 样 充分 保证 了 CA 的 安全 。 
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商家 需要 与 银行 的 支付 网 关 建立 连接 ,开发 流程 如 下 : 

(1) 与 银行 网 关 建立 连接 的 商家 需要 在 该 银行 开通 网 上 银行 ,并 申请 支付 网 关 证 书 
和 商家 网 银 证 书 。 网 关 证 书 用 于 商家 向 支付 网 关 发 送 加 密 信息 ,网 银 证 书 用 于 商家 发 送 
签名 消息 。 

(2) 由 银行 方 提 供 接口 , 即 订单 的 报 文 格式 等 。 商 家 按照 对 应 的 接口 开发 调试 网 站 
程序 ,与 银行 网 关 直 连 。 

(3) 银行 与 商家 之 间 协 商 一 种 加 密 算法 ,对 订单 信息 进行 加 密 处 理 。 

客户 进行 支付 的 业务 流程 如 下 : 

(1) 客户 在 商家 网 站 选 购 某 种 商品 并 选择 一 家 银行 实施 网 上 支付 ,商家 网 站 的 支付 
网 关 接口 会 产生 一 个 报 文 M( 订 单 号 ,金额 .商家 号 、 商 家 返回 地 址 、 交 易 日 期 ), 然 后 自动 
跳 转 到 客户 选择 的 银行 网 关 , 同 时 将 这 些 信息 加 密 后 发 送 给 银行 网 关 。 

(2) 支付 网 关 会 将 报 文 M 中 的 关键 字段 (如 订单 号 ,金额 、 商 家 名 、 交 易 日 期 等 ) 回 显 
在 客户 端 ,客户 确认 无 误 后 ,登录 到 银行 网 站 进行 支付 。 


75 1PSec 坟 双 


由 于 目前 的 网 络 基础 设施 存在 各 种 漏洞 ,为 了 在 这 种 不 可 靠 的 网 络 环境 下 从 事 安全 
的 电子 商务 ,人 们 设计 出 了 像 SSL 和 SET 等 电子 商务 安全 协议 ,这 些 协 议 通 过 加 密 、 认 
证 等 措施 来 保障 电子 交易 的 保密 .完整 .真实 性 和 不 可 抵赖 性 。 

如 果 换 一 种 思路 ,假定 电子 交易 活动 所 依托 的 Internet 网 络 环 境 本 身 就 是 安全 的 ， 
能 满足 电子 商务 安全 的 各 种 基本 需求 ,那么 就 不 需要 在 交易 的 处 理 过 程 中 考虑 如 此 之 多 
的 安全 问题 了 。IPSec 安全 体系 正 是 从 这 一 思路 发 展 而 来 的 , 它 的 设计 目的 是 对 IP 层 本 
身 的 安全 性 进行 改良 。 


751 IPSec 协议 概述 


IPSec 协议 是 伴随 着 IPv6 方案 逐渐 开发 和 实施 的 Internet 本 体 安全 性 解决 方案 , 力 
图 在 网 络 层 对 Internet 的 安全 问题 做 出 圆满 解决 ,是 IPv6 安全 性 方案 的 重要 协议 体系 ， 
对 Internet 未 来 的 安全 性 起 着 至 关 重 要 的 作用 。 所 以 ,对 于 以 Internet 为 物理 基础 的 电 
子 商 务 应 用 来 说 ,在 IPSec 出 现 后 ,电子 商务 的 安全 子 系统 可 以 直接 构建 在 IPSec 体系 结 
构 之 上 。 

在 传统 的 TCP/IP 协议 中 ,并 没有 对 IP 包 本 身 的 安全 性 进行 定义 ,导致 很 容易 便 可 
伪造 IP 包 的 源 地 址 ,修改 IP 包 的 内 容 、 重 放 以 前 的 包 以 及 在 传输 途中 拦截 并 查看 IP 包 
的 内 容 。 因 此 ,接收 方 很 难 确定 收 到 的 IP 数据 包 来 自 真正 的 发 送 方 ,并 且 内 容 没 有 被 修 
改 或 阅读 过 。 

针对 上 述 问题 ,IPSec 对 IP 协议 的 安全 性 作 了 如 下 一 些 改进 : 

(1) 数据 来 源 地 址 验证 。 

(2) 无 连接 数据 的 完整 性 验证 。 
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(3) 保证 数据 内 容 的 机 密 性 。 

(4) 抗 重 放 保护 。 

(5) 数据 流 机 密 性 保证 。 

IPSec 可 在 以 下 3 个 不 同 的 安全 领域 使 用 : 虚拟 专用 网 络 (VPN)、 应 用 级 安全 以 及 
路 由 安全 。 目 前 ,IPSec 主要 用 于 VPN。 在 应 用 级 安全 或 路 由 安全 中 使 用 时 ,IPSec 还 不 
是 一 个 完全 的 解决 方案 , 它 必须 与 其 他 安全 措施 配合 才能 更 具 效 率 ,从 而 妨碍 了 IPSec 在 
这 些 领 域 的 部 署 。 

IPSec 通过 使 用 加 密 技 术 、 安 全 协议 和 动态 密 钥 管理 ,可 以 实现 以 下 这 几 个 安全 
目标 : 

(1) 认证 IP 报 文 的 来 源 。 

基于 IP 地 址 的 访问 控制 十 分 脆弱 ,因为 攻击 者 可 以 很 容易 利用 伪装 的 IP 地 址 来 发 
送 IP 报 文 。IPSec 允许 设备 使 用 比 源 IP 地 址 更 安全 的 方式 来 认证 IP 数据 包 的 来 源 。 
IPSec 的 这 一 标准 称 为 原始 认证 (origin _ authentication) 。IPSec 可 以 使 用 对 称 密 钥 或 公 
钥 技术 两 种 方式 进行 认证 , 即 基 于 预 共 享 密 钥 的 认证 和 基于 数字 证 书 的 公 钥 认证 。 

(2) 保证 IP 数据 包 的 完整 性 。 

除了 确认 IP 数据 报 的 来 源 ,还 希望 能 确保 报 文 在 网 络 中 传输 时 没有 发 生变 化 。 使 
用 IPSec, 可 以 确信 在 IP 报 文 上 没有 发 生 任何 变化 。IPSec 的 这 一 特性 称 为 无 连接 完 
整 性 。 

(3) 确保 IP 报 文 的 内 容 在 传输 过 程 中 未 被 读 取 。 

除了 认证 与 完整 性 之 外 ,还 期 望 当 报 文 在 网 上 传播 时 ,未 授权 方 不 能 读 取 报 文 的 内 
容 。 这 可 以 通过 在 传输 前 将 报 文 加 密 来 实现 。 通 过 加 密 报 文 ,可 以 确保 攻击 者 不 能 破解 
报 文 的 内 容 , 即 使 他 们 可 以 用 侦 听 程序 截获 报 文 。 

(4) 确保 认证 报 文 没 有 重复 。 

最 终 , 即 使 攻击 者 不 能 发 送 伪装 的 报 文 ,不 能 改变 报 文 ,不 能 读 取 报 文 的 内 容 , 攻 击 
者 仍然 可 以 通过 重 放 截 获 的 认证 报 文 来 干扰 正常 的 通信 ,从 而 导致 事务 多 次 执行 ,或 是 
使 被 复制 报 文 的 上 层 应 用 发 生 混乱 。IPSec 能 检测 出 重复 报 文 并 丢弃 它们 ,这 一 特性 称 
为 反 重 放 (Cantireplay) 。 

(5) 实现 不 可 否认 性 。 

发 送 方 用 私 钥 产 生 一 个 数字 签名 随 消息 一 起 发 送 ,接收 方 使 用 发 送 方 的 公 钥 来 验证 
签名 ,通过 数字 签名 的 方式 来 实现 不 可 否认 性 。 

IPSec 建立 在 终端 到 终端 的 模式 上 ,这 意味 着 只 有 识别 IPSec 的 计算 机 才能 作为 发 
送 和 接收 计算 机 。IPSec 并 不 是 一 个 单一 的 协议 或 算法 , 它 是 一 系列 加 密实 现 中 使 用 的 
加 密 标准 定义 的 集合 。IPSec 实现 在 IP 层 的 安全 ,因而 它 与 任何 上 层 应 用 或 传输 层 的 协 
议 无 关 。 上 层 不 需要 知道 在 IP 层 实现 的 安全 ,所 以 上 层 不 需要 作 任 何 修改 。 


752 IPSec 的 体系 结构 


IPSec 由 一 系列 协议 组 成 : IPSec 组 件 包 括 认 证 头 协议 (AH) 和 封装 安全 载荷 协议 
(ESP) 、 密 钥 交 换 协 议 (IKE)、 安 全 关联 (SA) 及 加 密 和 认证 算法 等 。 图 7. 17 描述 了 
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IPSec 的 体系 结构 组 件 及 各 组 件 之 间 的 相互 关系 。 
(1) 认证 头 (Authentication Header, AH): 提 


IPSec 体系 结 
供 数 据 源 认证 ,数据 完整 性 和 重 放 保护 。 数 据 完整 人 
性 由 消息 认证 码 C(MAC) 生 成 校 验 码 实现 ,数据 源 认 [上 


证 由 被 认证 的 数据 中 共享 的 密 钥 实现 , 重 放 保 护 由 
AH 中 的 序列 号 实现 。AH 不 提供 加 密 服务 。 | | 


(2) 封装 安全 载荷 (Encapsulation Security 认证 算法 加 密 算法 
Payload,ESP): 除了 数据 源 认 证 验证 ,数据 完整 性 | | 
和 重 放 保护 外 ,还 提供 加 密 服务 。 除 非 使 用 隧道 , 否 “| 解释 域 DOD | 
则 ESP 通常 只 保护 数据 ,而 不 保护 IP 报头 。 当 ESP 
用 于 认证 时 ,将 使 用 AH 算法 。 可见 ESP 和 AH 能 lel 


够 组 合 或 藤 套 。 图 7. 18 是 ESP 的 数据 包 封 装 方式 。 ”图 7.17 IPSec 协议 的 体系 结构 
AH 和 ESP 可 以 单独 使 用 ,也 可 以 配合 使 用 。 

应 用 组 合 方式 ,可 以 在 两 台 主机 、 两 台 安 全 网 关 ( 防 火 墙 和 路 由 器 ) 或 者 主机 与 安全 网 关 

之 间 配 置 多 种 灵活 的 安全 机 制 。 


IP 报 头 | ESP 报 头 | 应 用 程序 数据 | ESP 报 尾 | ESP 认 证 
签名 
4 加 密 


7.18 ESP 协议 的 数据 包 封装 方式 


(3) 密 钥 交 换 协 议 (Internet Key Exchange,.IKE) : 协商 通信 双方 使 用 的 算法 、 密 钥 ， 
协商 在 两 个 对 等 实体 间 建 立 一 条 隧道 的 参数 ,协商 完成 后 再 使 用 ESP 或 AH 封装 数据 。 
IKE 协议 还 将 动态 地 、 周 期 性 地 在 两 个 对 等 网 络 之 间 更 新 密 钥 。 

(4) 解释 域 (Domain of Interpretation ,DOI) : 将 所 有 的 IPSec 协议 捆绑 在 一 起 ,是 
IPSec 协议 安全 参数 的 主要 数据 库 。 

(5) 密 钥 管理 : 由 IKE 和 安全 关联 (Security Association ,SA) 实 现 。 两 台 IPSec 计 
算 机 在 数据 交换 之 前 必须 首先 建立 某 种 约定 ,这 种 约定 就 称 为 “安全 关联 ?。SA 对 两 台 
计算 机 之 间 的 策略 协议 进行 编码 ,指定 它们 将 使 用 哪些 加 密 算法 和 什么 样 的 密 钥 长 度 ， 
以 及 实际 的 密 钥 本 身 。IKE 的 主要 任务 是 生产 和 管理 密 钥 , 集 中 管理 安全 关联 ,减少 连 
接 时 间 。 


753 IPSec 的 工作 模式 
IPSec 的 工作 模式 有 传输 模式 和 隧道 模式 两 种 ,它们 的 工作 原理 如 图 7. 19 所 示 。 
1. 传输 模式 


传输 模式 为 上 层 协议 (如 TCP) 提 供 保护 ,保护 的 是 IP 包 的 有 效 载 荷 ( 如 TCP、UDP 
或 ICMP) ,传输 模式 使 用 原始 明文 IP 头 ,并 且 只 加 密 数 据 ,通常 用 于 两 台 主 机 之 间 的 安 


原始 IP 包 | WP 类 | TcP 关 | 数据 | 

新 增 的 保护 头 。 受 保护 的 内 容 

传输 模式 | Ipy [区 及 | TCP 头 | 数据 
新 增 的 保护 头 。 受 保护 的 内 容 


~ 


隧道 模式 [六 [IPsec 原 IP 关 | TCP 头 | 数据 


7.19 IPSec 的 传输 模式 和 隧道 模式 ( 设 原始 IP 包 中 是 TCP 数据 ) 


全 通信 , 当 一 台 主 机 运行 AH 或 者 ESP 协议 时 ,IPv4 协议 的 有 效 载荷 是 IP 报头 后 面 的 
数据 ,IPv6 协议 的 有 效 载荷 是 IP 基本 报 文 头 部 和 扩展 报 文 头 部 的 数据 。 


2. 隧道 模式 


隧道 模式 为 整个 IP 包 提供 安全 保护 ,隧道 模式 首先 为 原始 IP 包 增 加 AH 或 ESP 字 
段 ,然后 再 在 外 部 增加 一 个 新 的 IP 头 部 。 所 有 原始 的 或 者 内 部 包 通 过 这 个 隧道 从 IP 层 
的 一 端 传输 到 另 一 端 ,沿途 的 路 由 器 只 检查 最 外 面 的 IP 头 部 ,不 检查 内 部 原来 的 IP 头 。 
由 于 增加 了 一 个 新 IP 头 , 因 此 新 IP 报 文 的 目的 地 址 可 能 与 原来 的 不 一 样 。 

隧道 模式 通常 用 在 至 少 一 端 是 安全 网 关 , 如 装 有 IPSec 的 防火 墙 或 路 由 器 上 ,如 
图 7. 20 所 示 。 使 用 了 隧道 模式 ,防火 墙 内 的 主机 可 以 使 用 内 部 地 址 与 另 一 端 进行 通信 ， 
而 且 不 需要 安装 IPSec, 由 装 有 IPSec 的 路 由 器 或 防火 墙 对 数据 进行 加 密 解 密 。 


0 降 首 模式 ) 
: 0 取道 模式 ) 
_ 主机 A : | 主机 B 
mm == (ren) 3 
| 网 关 A 网 关 B ; 
0 传 蜀 模式 > 


图 7.20 传输 模式 和 隧道 模式 的 应 用 比较 


3. IPSec 的 工作 过 程 


IPSec 用 于 提供 IP 层 的 安全 性 ,由 于 所 有 支持 TCP/IP 协议 的 主机 进行 通信 时 都 要 
经 过 IP 层 的 处 理 ,所 以 提供 了 IP 层 的 安全 性 就 相当 于 为 整个 网 络 提供 了 安全 通信 的 基 
础 。IPSec 的 工作 过 程 如 图 7. 21 所 示 。 

台 主 机 首先 从 IKE 处 获得 SA 和 会 话 密 钥 ,在 IPSec 驱动 程序 数据 库 中 查找 相 匹 

配 的 出 站 SA ,在 该 SA 的 安全 策略 中 查找 对 待 发 送 的 IP 数据 包 如 何 进行 处 理 ,并 将 SA 

中 的 SPI 插入 IPSec 报头 ,对 数据 包 进行 签名 和 完整 性 检查 ;如 果 要 求 机 密 保护 , 则 另外 
加 密 数 据 包 ,将 数据 包 随 同 SPI 发 送 至 IP 层 , 然 后 再 转发 至 目的 主机 。 

假设 在 一 个 Intranet 中 ,每 台 主 机 都 有 处 于 激活 状态 的 IPSec 策略 ,两 台 主 机 间 进 行 
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主机 A SA 协商 主机 B 
KE P| KE 


二 一 


TCP 传 输 层 


| 


上 上 | IPSec 驱动 程序 
网 络 层 
一 一 一 一 | 受 保护 的 IP 数 据 包 


7.21 IPSec 工作 过 程 


SA 对 SA 对 


通信 和 的 过 程 如 下 : 

(1) 主机 A 向 主机 B 发 送 一 条 消息 。 

(2) 主机 A 上 的 IPSec 驱动 程序 检查 IP 筛选 器 ,查看 数据 包 是 否 需要 接受 保护 以 及 
接受 何 种 保护 。 

(3) 驱动 程序 通知 IKE 开始 安全 协商 。 

(4) 主机 B 上 的 IKE 收 到 请 求 安 全 协商 通知 。 

(5) 两 台 主 机 建立 第 一 阶段 SA, 各 自生 成 共享 “ 主 密 钥 ”( 注 : 若 两 台 主机 在 此 前 通 
信 中 已 经 建立 起 第 一 阶段 SA , 则 可 直接 进行 第 二 阶段 SA 协商 ) 。 

(6) 协商 建立 第 二 阶段 SA 对 : 入 站 SA 和 出 站 SA,SA 包括 密 钥 和 安全 参数 索引 
(CSPI) 。SPI 是 一 个 分 配给 每 个 SA 的 字符 串 , 用 于 区 分 多 个 存在 于 接收 端 计算 机 上 的 安 
全 关联 。 

(7) 主机 A 上 的 IPSec 驱动 程序 使 用 出 站 SA 对 数据 包 进 行 签名 (完整 性 检查 ) 与 / 
或 加 密 。 

(8) 驱动 程序 将 数据 包 递 交 IP 层 ,再 由 IP 层 将 数据 包 转 发 至 主机 B。 

(9) 主机 B 网 络 适配器 驱动 程序 收 到 数据 包 并 提交 给 IPSec 驱动 程序 。 

(10) 主机 B 上 的 IPSec 驱动 程序 使 用 入 站 SA 检查 完整 性 签名 与 /或 对 数据 包 进 行 
解密 。 

(11) 驱动 程序 将 解密 后 的 数据 包 提交 上 层 TCP/IP 驱动 程序 ,再 由 TCP/IP 驱动 程 
序 将 数据 包 提交 主机 B 的 接收 应 用 程序 。 

以 上 是 IPSec 的 一 个 完整 工作 流程 ,虽然 看 起 来 很 复杂 ,但 所 有 操作 对 用 户 是 完全 透 
明 的 。 中 介 路 由 器 或 转发 器 仅 负责 数据 包 的 转发 .如果 中 途 遇 到 防火 墙 ` 安 全 路 由 器 或 
代理 服务 器 , 则 要 求 它 们 具有 IP 转发 功能 ,以 确保 IPSec 和 IKE 数据 流 不 会 遭 到 拒绝 。 


76 虚拟 专用 网 


随 着 企业 规模 不 断 扩大 ,企业 总 部 和 分 支 机 构 常 处 在 相隔 很 远 的 地 理 位 置 ,而 日 常 
业务 又 常常 需要 将 两 个 或 多 个 局 域 网 连接 起 来 ,以 简化 企业 内 部 网 的 建设 ,另外 很 多 出 
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(2 


差 办 公 的 员工 也 希望 在 外 就 能 访问 企业 内 部 网 。 虚 拟 专 用 网 (VPN) 技 术 的 出 现 为 企业 
的 这 些 需求 提供 了 一 个 解决 方案 。VPN 需要 利用 网 络 安全 协议 来 实现 ,因此 可 看 成 是 
安全 协议 的 一 个 应 用 。 


761 VPN 概 述 


1. VPN 的 概念 


虚拟 专用 网 (Virtual Private Network,VPN) 是 利用 Internet 将 物理 上 分 布 在 不 同 
地 点 的 内 部 网 络 ( 局 域 网 络 ) 安 全 地 连接 起 来 ,或 将 一 个 或 多 个 远程 用 户 与 内 部 网 络 安全 
地 连接 在 一 起 ,如 图 7. 22 所 示 。 从 而 可 将 远程 用 户 \ 企 业 分 支 机 构 、 公 司 业 务 合作 伙伴 
的 内 部 网 络 联 接 起 来 ,构成 一 个 扩展 了 的 企业 内 部 网 。 


Intranet VPN | A 
Access VPN 


7.22 VPN 的 几 种 类 型 


Internet 


VPN 建立 在 Internet 之 上 ,数据 传输 通过 Internet 完成 。 当 需要 时 ,VPN 从 公用 
Internet 中 独占 一 部 分 带宽 ,作为 私有 专用 网 络 进 行 通信 ; 当 通 信 结 束 后 ,VPN 释放 这 部 
分 私有 专用 网 络 带宽 ,归还 给 Internet。VPN 技术 在 公共 的 Internet 中 建立 了 一 条 专用 
传输 通路 ,事实 上 ,这 条 专用 的 传输 通路 是 利用 Internet 的 资源 动态 组 成 的 专用 光 辑 链 
路 。 而 用 户 却 感觉 不 到 这 些 , 对 于 用 户 的 计算 机 来 说 就 好 像 增 加 了 一 个 网 络 连 接 , 连 接 
到 了 一 个 局 域 网 中 一 样 。VPN 一 般 是 通过 IPSec 或 SSL 协议 实现 专用 网 数据 安全 传 
输 的 。 


2. VPN 的 主要 优点 


VPN 通过 开放 的 Internet 建立 私有 的 数据 传输 通道 ,将 在 外 办 公 人 员 远程 分 支 机 
构 .商业 合作 伙伴 等 安全 地 连 在 一 起 。 其 性 价 比 高 .可 扩展 性 好 ,有 广泛 的 应 用 空间 和 巨 
大 的 市 场 潜力 ,VPN 的 主要 优点 如 下 : 

(1) 方便 使 用 。 远 程 用 户 或 局 域 网 往往 需要 通过 Internet 访问 企业 内 部 网 资源 ,而 
企业 内 部 网 的 安全 策略 又 不 允许 将 企业 内 部 网 的 重要 资源 暴露 在 Internet 上 ,只 有 通过 
VPN 才能 解决 这 一 矛盾 。 

(2) 通信 安全 。VPN 的 关键 技术 ,如 数据 加 密 技 术 .数据 封装 技术 .身份 认证 和 访问 
控制 技术 、 隧 道 协议 等 ,从 多 方面 保证 了 在 开放 的 Internet 上 安全 的 传输 信息 。 

(3) 降低 成 本 。VPN 技术 将 数据 流转 移 到 Internet 上 ,不 仅 扩大 了 企业 内 部 网 的 范 
围 , 而 且 减 少 了 企业 花费 在 城 域 网 和 远程 网 络 连接 上 的 费用 ,从 而 降低 了 企业 网 络 建设 
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的 成 本 。 

(4) 简化 网 络 管理 。 随 着 企业 业务 的 不 断 扩 展 , 需 要 更 大 范围 的 企业 内 部 网 络 。 
VPN 技术 利用 Internet 逻辑 上 扩大 了 企业 内 部 网 的 范围 。 企 业 也 可 以 将 VPN 业务 外 
包 给 运营 商 ,从 而 将 精力 集中 在 自己 的 业务 上 ,而 不 是 网 络 上 。 

(5) 可 扩展 性 好 。VPN 技术 可 以 根据 实际 需要 ,动态 地 利用 Internet 扩展 企业 内 部 
网 的 范围 ,从 而 方便 ,快速 地 开通 新 用 户 的 VPN 连接 ,或 连接 新 的 局 域 网 。 


762 VPN 的 类 型 


VPN 分 为 3 种 类 型 , 即 远程 访问 虚拟 网 (access VPN) ,企业 内 部 虚拟 网 (intranet 
VPN) 和 企业 扩展 虚拟 网 (extranet VPN)。 


1. Access VPN 


对 于 出 差 流 动 的 员工 .远程 办 公 人 员 或 远程 小 型 工作 室 ,Access VPN 使 他 们 通过 
Internet 能 与 企业 内 部 网 络 建立 专用 的 网 络 连接 ,从 而 能 够 方便 地 访问 企业 内 部 网 的 资 
源 ( 这 些 资 源 是 不 对 Internet 公共 网 公开 的 ) 。 而 对 各 个 企业 来 说 ,Access VPN 可 使 自 
已 削减 线路 和 设备 费用 无须 为 远程 雇员 提供 公司 办 公设 备 的 同时 ,可 获得 成 规模 的 、 可 
管理 的 业务 解决 方案 。 

那么 远程 用 户 是 如 何 建 立 到 企业 内 部 网 的 VPN 专用 连接 的 呢 ? 通常 ,Access VPN 
可 通过 两 种 方式 实现 ,一 种 是 用 户 发 起 (client-initiated) 的 VPN 连接 , 另 一 种 是 接 人 服务 
器 发 起 (NAS-initiated) 的 VPN 连接 。 

用 户 发 起 VPN 连接 的 过 程 是 : 首先 ,远程 用 户 通过 服务 提供 点 (POP) 拨 入 
Internet; 接 着 ,用 户 通过 隧道 协议 与 企业 网 建立 一 条 隧道 (可 加 密 ) 连 接 , 从 而 访问 企业 
内 部 资源 。 在 这 种 情况 下 ,用 户 端 必须 维护 与 管理 发 起 隧道 连接 的 有 关 协 议和 软件 。 

在 接 人 服务 器 发 起 的 VPN 连接 应 用 中 ,用 户 通过 本 地 号 码 拨 入 ISP, 然 后 ISP 的 网 
络 服务 器 再 发 起 一 条 隧道 连接 到 用 户 的 企业 网 。 在 这 种 情况 下 ,所 建立 的 VPN 连接 对 
远程 用 户 是 透明 的 ,构建 VPN 所 需 的 协议 和 软件 均 由 ISP 负责 管理 和 维护 。 


2. Intranet VPN 


Intranet VPN 通过 Internet 实现 企业 与 各 个 分 支 机 构 网 络 间 的 互联 ,是 传统 的 专用 
网 或 其 他 企业 网 扩展 或 替代 形式 。 

利用 IP 网 络 构建 VPN 的 实质 是 通过 公用 网 在 各 个 路 由 器 之 间 建 立 VPN 安全 隧道 
来 传输 用 户 的 私有 网 络 数据 ,用 于 构建 这 种 VPN 连接 的 隧道 技术 主要 是 IPSec 等 。 结 
合 服务 商 提供 的 QoS 机 制 , 可 以 有 效 、 可 靠 地 使 用 网 络 资源 ,保证 了 网 络 的 质量 。 另 外 ， 
基于 Internet 构建 VPN 是 最 为 经 济 的 方式 ,企业 在 规划 VPN 建设 时 应 根据 自身 的 需求 
对 以 上 的 各 种 网 络 方案 进行 权衡 。 

例如 , 某 公司 总 部 有 企业 内 部 数据 库 服务 器 , 供 全 国 各 分 支 机 构 查 询 使 用 。 考 虑 到 
经 营 的 产品 品牌 和 型 号 较 多 的 特点 ,如 果 采 用 各 分 支 机 构 独 立 核算 的 方式 ,将 会 给 公司 
的 统一 经 营 管理 带 来 很 大 的 不 便 。 为 此 ,公司 要 求 各 分 支 机 构 的 业务 和 总 部 同步 ,这 就 
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必须 采用 Intranet VPN 实现 各 分 支 机 构 与 总 部 网 络 的 连接 ,通过 VPN 通道 传输 核算 数 
据 , 使 得 定制 的 ERP 软件 能 顺畅 .安全 地 运行 。 常 用 方案 是 : 在 公司 总 部 使 用 一 台 相 对 
高 端的 IPSec VPN 设备 作为 公司 内 部 网 的 防火 墙 , 利 用 自 带 的 VPN 网 关 功 能 为 各 分 支 
机 构 提供 VPN 接 入 服务 ,根据 各 分 支 机 构 的 多 少 ,选用 IPSec VPN 设备 作为 防火 墙 和 区 
域 VPN 节点 。 


3. Extranet VPN 


Extranet VPN 是 指 利 用 VPN 将 企业 网 延伸 至 合作 伙伴 或 客户 ,将 企业 与 供应 商 、 
合作 伙伴 及 供应 链 上 的 其 他 组 织 , 通 过 Internet 安全 地 连接 在 一 起 。 为 了 保护 各 个 公司 
的 机 密 信息 ,互联 的 每 个 内 部 网 络 只 开放 部 分 资源 而 不 是 全 部 资源 给 外 联网 用 户 ,而 且 
对 不 同 的 用 户 授予 不 同 的 访问 权限 ,这 使 得 Extranet VPN 的 网 络 管 理 和 访问 控制 的 设 
置 非常 麻烦 。 为 此 ,很 多 企业 不 得 不 放弃 构建 Extranet, 结果 使 得 企业 间 的 商业 交易 程 
序 复杂 化 ,商业 效率 降低 。 

Extranet VPN 与 Intranet VPN 的 拓扑 结构 都 是 从 网 络 到 网 络 以 不 对 等 的 方式 建立 
连接 ,区 别 仅仅 是 Extranet VPN 执行 的 安全 策略 不 同 。Extranet 用 户 对 于 Extranet 
VPN 的 访问 权限 可 以 通过 防火 墙 等 手段 来 设置 与 管理 。 


763 VPN 的 关键 技术 


实现 VPN 的 关键 技术 有 数据 加 密 技 术 、 隧 道 技术 .身份 认证 和 访问 控制 技术 。 如 
表 7.3 所 示 。 从 目前 的 实现 协议 来 看 ,VPN 主要 是 通过 IPSec、L2TP 或 SSL 协议 来 实 
现 的 。 


表 7.3 VPN 的 关键 技术 


采用 技术 作 用 采用 技术 作 用 
数据 加 密 技术 | 保证 数据 的 机 密 性 身份 认证 技术 | 鉴别 主机 、 端 点 的 身份 
、 创建 隧道 ,封装 数据 ,保证 数据 | 、 授权 并 监督 用 户 访问 数据 的 
隧道 技术 的 完整 性 访问 控制 技术 权限 
1. 数据 加 密 技术 


由 于 VPN 工作 在 非 安 全 的 Internet 网 络 上 ,对 数据 进行 加 密 可 确保 传输 数据 的 机 
密 性 。 在 接 入 点 传 来 的 数据 到 达 专 用 网 之 前 VPN 对 其 加 密 , 加 密 的 数据 在 VPN 中 传 
输 , 在 到 达 目 标 用 户 之 前 ,VPN 解密 所 有 收 到 的 数据 流 。 


2. 隧道 技术 


隧道 是 利用 一 种 协议 传输 另 一 种 协议 的 技术 。 隧 道 技术 通过 IP 封装 (或 在 其 他 层 
次 封装 ) 保 护 数据 包 , 从 而 提供 了 更 高 级 别 的 保护 。 主 要 思想 是 : 首先 ,将 待 传输 的 原始 
信息 加 密 并 进行 协议 封装 处 理 ; 然 后 将 其 再 戏 入 另 一 种 协议 的 数据 包 并 送 入 网 络 , 从 而 
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能 像 普通 数据 包 一 样 传输 。 经 过 加 密 和 封装 处 理 后 ,只 有 源 端 和 目的 端的 用 户 能 够 对 隧 
道中 的 和 嵌 套 信息 进行 解释 和 处 理 , 而 其 他 用 户 是 看 不 见 和 无 法 理解 的 。 


3. 身份 认证 技术 


在 隧道 连接 开始 之 前 要 确认 用 户 的 身份 ,以 便 系统 进一步 实施 资源 访问 控制 或 用 户 
授权 。 


4. 访问 控制 技术 


确定 特定 用 户 对 特定 资源 的 访问 权限 ,从 而 实现 基于 用 户 的 访问 控制 ,达到 对 信息 
资源 最 大 程度 地 保护 的 目的 。 通 常 ,由 VPN 服务 的 提供 者 与 最 终 网 络 信息 资源 的 提供 
者 共同 协商 用 户 对 特定 资源 的 访问 权限 。 


“764 隧道 技术 


隧道 是 只 在 两 端 有 出 入 口 .其 他 地 方 全 封闭 的 路 ,如 穿山 隧道 海底 隧道 。VPN 中 
的 隧道 就 是 借用 了 日 常生 活 中 隧道 的 概念 ,来 表明 虚拟 专用 的 含义 。 


1. VPN 隧道 及 组 成 


在 VPN 中 ,隧道 (tunneling) 是 在 Internet 中 建立 一 条 端 到 端的 .专用 的 .独占 的 数 
据 传 输 通道 ,一 条 隧道 可 能 穿越 多 个 公共 网 络 。 本 质 上 说 ,隧道 是 一 个 逻辑 概念 ,是 在 邮 
辑 链 路 层 上 建立 的 全 程 封闭 、 只 在 两 端 有 出 入 口 的 安全 的 链 路 连接 。 

隧道 由 3 部 分 组 成 : 隧道 协议 、 隧 道 开 通 器 和 隧道 终端 器 。 

隧道 开通 器 是 隧道 的 起 点 ,其 功能 是 在 Internet 中 开 出 一 条 隧道 。 可 以 作为 隧道 开 
通 器 的 软件 是 具有 VPN 拨号 功能 的 软件 (Windows 中 集成 了 该 类 软件 ) 和 具有 VPN 功 
能 的 路 由 器 (用 于 企业 的 分 支 机 构 中 ) 。 

隧道 终端 器 是 隧道 的 终止 点 ,指示 隧道 到 此 结束 。 可 以 作为 隧道 终端 器 的 软件 或 设 
备 有 专用 隧道 终端 器 、 企 业 网 络 中 的 防火 墙 、 网 络 服务 商 路 由 器 上 的 VPN 网 关 。 

隧道 有 点 到 点 隧道 和 端 到 端 隧道 两 种 。 在 点 到 点 隧道 中 ,隧道 由 远程 用 户 计 算 机 延 
伸 到 企业 内 部 网 中 的 服务 器 ,两 边 的 设备 负责 隧道 的 建立 及 两 点 之 间 数 据 的 加 密 和 解 
密 。 在 端 到 端 隧道 中 ,隧道 连接 两 端的 局 域 网 起 始 /终止 于 防火 墙 等 网 络 边缘 设备 。 数 
据 包 也 有 可 能 要 通过 一 系列 隧道 才能 到 达 目 的 地 。 

隧道 可 以 方便 .灵活 地 设置 。 例 如 ,一 个 远程 用 户 通 过 ISP 访问 企业 内 部 网 时 ,隧道 
开通 器 一 般 是 用 户 的 VPN 拨号 软件 或 被 用 户 拨 入 的 ISP 路 由 器 ,隧道 终端 器 一 般 是 企 
业 网 络 防火 墙 。 这 时 隧道 是 由 用 户 的 计算 机 (或 ISP 路 由 器 ) 到 企业 防火 墙 。 如 果 通 过 
VPN 实现 互相 访问 的 两 个 企业 网 分 别 使 用 不 同 的 ISP 服务 ,那么 两 个 ISP 公用 网 络 之 间 
也 要 建立 隧道 。 


2. 隧道 协议 
隧道 技术 定义 了 3 种 协议 , 即 隧 道 协议 、 隧 道 协议 下 面 的 承载 协议 和 隧道 协议 所 承 
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载 的 被 承载 协议 (又 称 乘客 协议 )。 例 如 , 表 7. 4 是 一 个 隧道 协议 中 的 封装 关系 。 
表 7.4 隧道 协议 中 的 封装 关系 


承载 协议 隧道 协议 乘客 协议 
IP/ATM IPSec TCP,UDP 
隧道 协议 主要 有 两 种 。 


一 种 是 二 层 隧 道 协议 , 它 工作 在 网 络 接口 层 ,常见 的 二 层 隧道 协议 有 3 种 : 点 对 点 隧 
道 协议 (Point to Point Tunneling Protocol,PPTP) ,Windows NT 以 上 版 本 中 有 支持 ;二 
层 转发 协议 (Layer 2 Forwarding,L2F) ,在 Cisco 路 由 器 中 有 支持 ;第 2 层 隧道 协议 
(Layer 2 Tunneling Protocol,L2TP),L2TP 综合 运用 了 PPTP 和 L2F 协议 的 优点 ,是 使 
用 最 广泛 的 VPN 二 层 隧道 协议 。 

L2TP 定义 了 在 包 交 换 方式 的 网 络 中 封装 链 路 层 PPP 帧 的 方法 。L2TP 是 封装 协 
议 ,被 封装 的 是 链 路 层 PPP 协议 ,乘客 协议 是 网 络 层 的 IP 协议。 

另 一 种 是 三 层 隧 道 协议 ,常见 的 三 层 隧 道 协 议 有 IP 层 安全 协议 IPSec 和 通用 路 由 封 
装 协议 (Generic Routing Encapsulation,GRE)。 另 外 ,传输 层 安 全 协议 (SSL) 也 可 作为 
VPN 隧道 协议 ,也 可 以 构建 VPN, 称 为 SSL VPN。 

常用 的 隧道 协议 如 表 7. 5 所 示 。 


表 7.5 常用 的 隧道 协议 


所 在 网 络 层 隧道 协议 名 所 在 网 络 层 隧道 协议 名 
应 用 层 SET.S-MIME.IKE 网 络 层 IPSec.GRE 
传输 层 SSL.SOCKS 网 络 接 口 层 PPTP.\L2F.L2TP 
3. 隧道 实现 的 功能 


隧道 类 似 于 点 到 点 的 连接 。 这 种 方式 使 得 来 自 许多 源 的 网 络 流量 从 同一 个 基础 设 
施 中 通过 分 开 的 隧道 。 这 种 技术 使 用 点 对 点 通信 协议 代替 了 交换 连接 ,通过 路 由 网 络 来 
连接 数据 地 址 。 通 过 隧道 的 建立 ,可 实现 以 下 功能 : 中 将 数据 流量 强制 到 特定 的 目的 地 ; 
@ 隐 藏 私 有 的 网 络 地 址 ; @ 在 IP 网 上 传输 非 IP 协议 数据 包 ; 田 提 供 数据 安全 支持 ; 
@ 协 助 完成 用 户 基于 AAA(Authentication、Authorization、Accounting, 认 证 ,授权 和 记 
账 ) 的 认证 管理 ; @ 在 安全 方面 可 提供 数据 包 认 证 .数据 加 密 以 及 密 钥 管理 等 手段 。 


4. 两 种 常用 的 VPN 隧道 协议 


虽然 有 很 多 安全 协议 都 能 用 来 实现 VPN, 但 目前 VPN 的 两 大 主流 技术 是 IPSec 
VPN 和 SSL VPN,IPSec VPN 一 般 用 于 局 域 网 与 局 域 网 之 间 的 连接 ,由 于 IPSec 是 
VPN 家 族 中 最 安全 的 协议 ,因此 IPSec VPN 的 安全 性 很 高 ,但 它 的 缺点 是 必须 安装 
VPN 客户 端 软件 。 

SSL VPN 一 般 用 于 移动 用 户 与 局 域 网 之 间 的 连接 ,由 于 SSL 技术 已 经 内 肯 到 浏览 
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器 中 ,用 户 使 用 时 不 需要 安装 客户 端 软件 ,这 为 移动 用 户 或 分 散 用 户 访问 企业 总 部 内 部 
网 提供 了 极 大 的 方便 。 但 使 用 SSL VPN 接 入 企业 内 部 的 只 是 Web 应 用 ,而 不 是 企业 的 
局 域 网 ,因此 移动 用 户 只 能 访问 所 需要 的 应 用 和 数据 资源 的 一 部 分 。 由 于 SSL 协议 是 建 
立 在 TCP 协议 之 上 的 ,因此 SSL VPN 只 能 用 于 保护 TCP 通道 的 安全 ,而 无 法 保护 UDP 
通道 ,这 使 SSL VPN 没有 架构 来 支持 即时 消息 通信 数据 馈送 、 视 频 会 议 及 VoIP 这 些 需 
要 UDP 协议 的 应 用 。 因 此 ,SSL VPN 无 法 为 远程 用 户 提供 全 面 的 解决 方案 。 此 外 ,SSL 
VPN 的 加 密级 别 也 不 如 IPSec VPN 高 。 表 7.6 对 这 两 种 VPN 技术 进行 了 比较 。 


表 7.6 IPSec VPN 和 SSL VPN 的 比较 


VPN 技术 IPSec VPN SSL VPN 

工作 层次 网 络 层 应 用 层 (注意 不 是 传输 层 ) 

加 密 强加 密 。 依 据 不 同 的 数据 流 强加 密 。 基 于 Web 浏览 器 

身份 验证 双向 身份 验证 .数字 证 书 单 向 和 双向 身份 验证 ,数字 证 书 

和 人 各 安全 性 。 | 局域网 网 关 到 网 关 、 客 户 端 到 VPN 网 | 端 到 端的 安全 ,从 客户 端 到 资源 端的 全 
关 之 间 的 通道 加 密 程 加 密 

可 访问 性 适用 于 特定 许可 用 户 的 访问 适用 于 任何 时 间 、 任 何 地 点 的 访问 

管理 难度 需要 管理 客户 端 软 件 无 须 附 加 客户 端 软 件 

安装 人 无 须 任 何 客户 端 软件 或 硬件 

对 于 没有 相应 技术 的 用 户 来 说 比较 困 | 使 用 Web 浏览 器 访问 ,终端 用 户 无 须 
难 ,需要 培训 培训 

支持 的 应 用 ”| 所 有 基于 IP 的 业务 基于 Web 的 应 用 .文件 共享 .E-mail 等 

目标 用 户 更 适用 于 企业 内 部 分 支 机 构 之 问 客户 .商业 合作 伙伴 出差 员工 等 


在 两 种 VPN 协议 的 选择 上 ,对 于 企业 高 级 用 户 或 站 点 对 站 点 连接 所 需要 的 直接 访 
问 企 业 网 络 功能 来 说 ,IPSec VPN 最 合适 。 通 过 IPSec VPN, 各 地 的 员工 能 够 享受 不 间 
断 的 安全 连接 , 借 此 存 取 所 需 的 企业 数据 资源 ,以 提升 工作 效率 。 这 样 可 以 让 分 散在 各 
地 的 员工 如 同位 于 企业 总 部 内 一 般 地 工作 ,并 且 能 够 像 在 内 部 局 域 网 一 样 轻松 存 取 所 有 
网 络 资源 。 

而 SSL VPN 则 最 适合 下 述 情 况 : 企业 用 户 需要 通过 互联 网 达到 广泛 而 全 面 的 信息 
存 取 ;使 用 者 的 设备 与 目标 服务 器 之 间 有 防火 墙 ,该 防火 墙 设 定 允 许 HTTP 联机 ,但 不 允 
许 UDP500 端口 或 IPSec 运行 ;企业 无 法 控制 远程 访问 者 的 电脑 配置 ,不 可 能 在 使 用 者 
的 电脑 上 安装 软件 以 提供 远程 访问 。 在 这 些 情况 下 ,SSL VPN 可 满足 以 上 用 户 的 远程 
存 取 需求 ,而 且 如 果 使 用 者 的 身份 或 环境 改变 时 ,还 允许 网 管 人 员 改 变 他 们 可 存 取 的 
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忆 是 


. SSL 中 的 ( ) 是 可 选 的 。 


A. 服务 器 鉴别 B. 数据 库 鉴别 C. 应 用 程序 鉴别 ” D. 客户 机 鉴别 


.SSL 层 位 于 ( ) 与 ( ) 之 间 。 


A. 传输 层 和 网 络 层 B. 应 用 层 和 传输 层 

C. 数据 链 路 层 和 物理 层 D. 网 络 层 和 数据 链 路 层 
.SSL 用 于 客户 机 和 服务 器 之 间 相 互 认证 的 协议 是 ( 和 5 

A. SSL 警告 协议 B. SSL 握手 协议 

C. SSL 更 改 密码 规范 协议 D. SSL 记录 协议 
.SET 提出 的 数字 签名 新 应 用 是 ( ) 。 

A. 双重 签名 B. 盲 签名 C. 数字 时 间 惟 D. 门限 签名 
. SSL 协议 提供 的 基本 安全 服务 不 包括 ( 3 

A. 加 密 服务 B. 服务 器 证 书 

C. 认证 服务 D. 保证 数据 完整 


. SET 的 主要 目的 与 ( ) 有 关 。 


A. 浏览 器 与 服务 器 之 间 的 安全 通信 B. 数字 签名 
C. Internet 上 的 安全 信用 卡 付款 D. 消息 摘要 


. SET 中 的 ( ) 不 知道 付款 信用 卡 的 细节 。 


A. 商家 B. 客户 C. 付款 网 关 D. 签发 人 


.基于 SET 协议 的 电子 商务 系统 中 对 商家 和 持 卡 人 进行 认证 的 是 ( » 


A. 收音 银行 B. 支付 网 关 C. 认证 中 心 D. 发 卡 银行 


. 关于 SSL 协议 与 SET 协议 的 叙述 正确 的 是 ( Ys 


A. SSL 是 基于 应 用 层 的 协议 ,SET 是 基于 传输 层 的 协议 

B. SET 和 SSL 均 采用 RSA 算法 实现 相同 的 安全 目标 

C. SSL 在 建立 双方 的 安全 通信 信道 后 ,所 有 传输 的 信息 都 被 加 密 , 而 SET 则 有 
选择 地 加 密 一 部 分 敏感 信息 

D. SSL 是 一 个 多 方 的 报 文 协议 , 它 定义 了 银行 .商家 、 持 卡 人 之 间 必 需 的 报 文 规 
范 , 而 SET 只 是 简单 地 在 通信 双方 之 间 建 立 安 全 连接 


10. 下 面 关 于 ESP 传输 模式 的 叙述 不 正确 的 是 ( Ws 


A. 并 没有 暴露 子 网 内 部 拓扑 B. 主机 到 主机 安全 
C. IPSec 的 处 理 负荷 被 主机 分 担 D. 两 端的 主机 需 使 用 公 网 IP 
11. IPSec 提供 层 的 安全 性 。 
12. 在 SET 中 使 用 随机 产生 的 加 密 数 据 , 然 后 将 此 用 接收 者 的 


加 密 , 称 为 数字 信封 。( 填 对 称 密 钥 、 公 开 密 钥 或 私有 密 钥 .) 
13. SET 是 如 何 对 商家 隐藏 付款 信息 的 ? 


第 本 榨 Gaefer 2 
电 了 于 支付 的 安全 


电子 支付 是 电子 商务 发 展 到 一 定时 期 的 必然 产物 , 它 以 虚拟 的 形态 .网 络 化 的 运行 
方式 适应 电子 商务 发 展 的 需要 。 但 由 于 电子 支付 对 安全 性 有 更 高 的 要 求 , 因 此 电子 支付 
技术 的 发 展 一 直 滞后 于 电子 商务 其 他 领域 的 发 展 。 

就 目前 来 看 , 纸 质 现金 的 大 量 使 用 ,支票 多 用 于 对 公 业 务 , 储 蕾 消费 占 统治 地 位 ,这 
些 特征 基本 构成 中 国 支 付 文化 的 现状 。 阻 碍 中 国 用 户 使 用 电子 支付 手段 的 原因 主要 有 
两 点 : 对 安全 性 表示 怀疑 ; 如 支付 受理 环境 较 差 。 根 据 (2011 电子 支付 产业 调查 报告 》 
显示 ,在 选择 电子 支付 考虑 的 诸多 因素 中 ,64. 5% 的 用 户 首选 安全 。 可 见 ,安全 性 成 为 制 
约 电子 支付 发 展 的 主要 原因 。 因 此 ,构筑 安全 保障 体制 ,加 强 安全 风险 控制 ,化 解 非法 交 
易 对 电子 支付 的 威胁 ,对 于 电子 支付 产业 的 发 展 尤 为 重要 。 

本 章 首先 从 整体 上 介绍 电子 支付 面临 的 安全 威胁 和 电子 支付 的 安全 需求 ,然后 分 别 
通过 具体 的 支付 系统 介绍 电子 现金 ,电子 支票 和 微 支 付 中 安全 需求 和 其 他 需求 的 实现 
方法 。 


81 电子 支付 安全 概 述 


电子 支付 是 电子 商务 发 展 的 必然 结果 ,是 电子 商务 中 最 重要 的 组 成 部 分 ,是 电子 商 
务 的 核心 问题 。 因 此 ,电子 支付 的 安全 性 问题 是 电子 商务 安全 问题 中 最 重要 的 内 容 , 它 
的 安全 程度 的 高 低 决定 了 电子 商务 安全 程度 的 高 低 。 对 于 支付 型 电子 商务 系统 来 说 ,只 
有 提供 安全 可 靠 的 电子 支付 手段 ,消费 者 ,企业 和 银行 才能 信任 电子 商务 ,才能 大 胆 地 从 
事 电子 商务 活动 ,从 而 使 电子 商务 系统 真正 地 得 到 应 用 ,真正 地 获得 成 功 并 进而 促进 电 
子 商务 的 发 展 。 可 以 说 ,电子 支付 的 安全 性 问题 是 关系 到 电子 商务 特别 是 支付 型 电子 商 
务 能 否 健康 、 稳 定 、 快 速 发 展 的 决定 性 因素 。 


811 电子 支付 与 传统 支付 的 比较 


电子 支付 是 指 从 事 电子 商 务 交 易 的 当事人 .包括 消费 者 、 商 家 和 金融 机 构 , 使 用 安全 
电子 支付 手段 通过 网 络 进行 的 货币 支付 或 资金 流转 。 从 广义 上 说 ,电子 支付 就 是 资金 或 
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与 资金 有 关 的 信息 通过 网 络 进行 交换 的 行为 。 与 传统 的 支付 方式 相 比 ,电子 支付 具有 以 
下 特征 : 

(1) 电子 支付 采用 先进 的 技术 通过 数字 流转 来 完成 支付 信息 传输 ,其 各 种 支付 方式 
都 是 采用 数字 化 的 方式 进行 款项 支付 的 ,因而 电子 支付 具有 方便 、 快 捷 、 高 效 、 经 济 的 优 
势 。 由 于 不 需要 印 制 .运输 、 保 管 钞票 ,也 不 需要 当面 支付 ,电子 支付 的 成 本 仅 为 传统 支 
付 方式 的 几 十 分 之 一 ,甚至 几 百 分 之 一 。 

(2) 电子 支付 的 工作 环境 是 基于 一 个 开放 的 系统 平台 ( 即 Internet) 之 中 ;而 传统 支 
付 则 是 在 较为 封闭 的 系统 中 运作 。 由 于 Internet 基本 上 仍然 是 一 个 无 政府 、 无 组 织 、 无 
主管 的 网 络 , 因 而 对 电子 支付 的 监管 远 比 传统 支付 困难 。 

(3) 电子 支付 使 用 的 是 最 先进 的 通信 手段 ,如 Internet、 移 动 网 络 ; 而 传统 支付 使 用 
的 则 是 传统 的 通信 媒介 。 

电子 支付 的 发 展 所 要 求 的 是 开放 的 支付 环境 ,这 需要 金融 .通信 、 互 联网 等 产业 之 间 
的 融合 。 当 前 ,众多 的 市 场 参 与 者 ,包括 银行 、 非 银行 支付 中 介 、 电 子 商务 企业 以 及 消费 
者 ,纷纷 介入 电子 支付 这 一 新 兴 领 域 ,构成 了 电子 支付 产业 链 。 

最 初 的 电子 支付 是 指 利 用 信用 卡 在 POS 机 上 进行 刷卡 支付 ;但 目前 电子 支付 主要 指 
网 上 支付 , 即 通 过 Internet 直接 进行 转账 付款 。 本 章 只 讨论 网 上 支付 。 


812 电子 支付 系统 的 分 类 


电子 支付 是 传统 支付 的 电子 化 ,在 传统 支付 过 程 中 ,人 们 主要 使 用 现金 .支票 或 信用 
卡 进行 支付 ,而 电子 支付 协议 同样 有 电子 现金 ,电子 支票 和 电子 信用 卡 方式 与 传统 支付 
方式 对 应 ,如 图 8. 1 所 示 。 


传统 支付 电子 支付 
图 8.1 传统 支付 与 电子 支付 的 比较 


其 中 ,电子 信用 卡 支付 方式 主要 是 采用 SET 协议 实现 的 ,在 第 7 章 已 经 讨论 过 。 本 
章 只 讨论 电子 现金 和 电子 支票 这 两 种 电子 支付 方式 ,电子 现金 和 电子 支票 的 区 别 在 于 : 
电子 现金 具有 匿名 性 ,而 电子 支票 记录 了 持 有 者 的 个 人 信息 ,不 具有 匿名 性 。 除 了 将 电 
子 支付 分 为 以 上 3 种 类 型 外 ,电子 支付 还 可 以 参照 表 8. 1. 依 据 不 同 的 分 类 标准 进行 
分 类 。 
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表 8.1 电子 支付 的 各 种 分 类 


分 类 标准 类 型 
支付 者 和 接受 付款 者 是 否 需 与 银行 | 在 线 支付 (on line payment) 
在 线 连 接 离线 支付 (off-line payment) 
支付 者 和 接受 付款 者 是 否 有 直接 | 直接 支付 (direct payment) 
通信 间接 支付 (indirect payment) 
预先 支付 (pre-paid payment) 
支付 者 实际 付款 的 时 间 即时 支付 (pay-now payment) 


延 后 支付 (pay-later payment) 

基于 账号 (account-based) 的 支付 ,包括 电子 支票 和 电子 信用 
用 户 在 银行 中 是 否 有 账号 (电子 钱包 ) 

基于 代 币 (token-based) 的 支付 , 指 电子 现金 


宏 支 付 Cmacro payment) 


每 次 交易 金额 的 大 小 小 额 支付 (mini payment) 


微 支付 (micro payment) 


无 匿名 性 的 支付 系统 (如 电子 支票 ) 


支付 者 的 隐私 是 否 受 到 保护 完全 匿名 的 支付 系统 


条 件 匿名 的 支付 系统 


813 电子 支付 的 安全 性 需求 
1. 电子 支付 面临 的 安全 威胁 


电子 支付 直接 与 金钱 挂钩 ,因此 电子 支付 在 电子 商务 活动 中 安全 需求 是 最 高 的 ,也 
是 最 容易 遭受 攻击 的 敏感 区 域 。 一 旦 出 现 问题 会 带 来 较 大 的 经 济 损失 ,并 会 在 电子 支付 
链 中 相互 传递 风险 。 因 此 必须 收集 、 分 析 、 鉴 别 电子 支付 产业 链 中 的 各 种 交易 信息 ,对 其 
进行 安全 性 分 析 。 电 子 支付 系统 面临 的 安全 威胁 主要 有 : 

(1) 以 非法 手段 窃取 信息 ,使 机 密 的 交易 或 支付 内 容 泄 露 给 未 被 授权 者 。 

(2) 自 改 数据 或 数据 传输 中 出 现 错误 、 丢 失 、 乱 序 , 都 可 能 导致 数据 的 完整 性 被 破坏 。 

(3) 伪造 信息 或 假冒 合法 用 户 的 身份 进行 欺骗 。 

(4) 系统 安全 漏洞 .网络 故障 、 病 毒 等 导致 系统 程序 或 数据 被 破坏 。 


2. 电子 支付 的 安全 需求 


为 了 抵抗 各 种 威胁 ,确保 电子 支付 安全 进行 ,必须 建立 完善 的 安全 电子 支付 协议 体 
系 。 不同 电子 支付 系统 的 安全 性 需求 由 它们 自身 的 特点 、 应 用 环境 和 对 其 信用 度 的 假设 
所 决定 。 一 般 地 ,电子 支付 的 安全 需求 主要 包括 机 密 性 、 完 整 性 、 身 份 认 证 ,不 可 否认 性 
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(1) 机 密 性 。 人 们 在 进行 电子 支付 时 涉及 很 多 的 敏感 信息 ,如 个 人 身份 信息 、 银 行 卡 
号 和 密码 等 ,这 些 信 息 不 能 泄露 给 其 他 人 ,否则 就 有 可 能 出 现 个 人 隐私 泄露 .资金 被 盗 等 
问题 。 

(2) 完整 性 。 指 交易 信息 或 支付 信息 在 存储 或 传输 时 不 被 修改 .破坏 和 丢失 ,保证 合 
法 用 户 能 接收 和 使 用 真实 的 支付 信息 。 

(3) 身份 认证 。 在 交易 信息 的 传输 过 程 中 ,要 为 参与 交易 的 各 方 提供 可 靠 标识 ,使 他 
们 能 正确 识别 对 方 并 能 互相 证 明 身 份 ,这 可 以 有 效 防止 网 上 交易 的 欺诈 行为 。 只 有 交易 
各 方 能 正确 地 识别 对 方 ,人 们 才能 放心 地 进行 支付 。 因 此 ,方便 而 可 靠 地 确认 对 方 身份 
是 支付 的 前 提 。 

(4) 不 可 否认 性 。 必 须 防止 交易 各 方 日 后 否认 发 出 过 或 接收 过 某 信息 。 

(5) 容错 性 。 要 求 电 子 支 付 系 统 有 较 强 的 容错 性 ,即使 在 发 生 系统 故障 、 停 电 等 特殊 
情况 下 ,也 能 保证 系统 的 稳定 和 可 靠 , 同 时 保证 交易 双方 的 利益 不 受 影响 ,如 不 会 发 生 一 
方 已 付款 但 另 一 方 却 没收 到 付款 的 情况 。 

在 现实 中 ,电子 支付 系统 的 安全 需求 是 通过 先进 的 信息 安全 技术 和 安全 支付 协议 得 
到 保证 的 ,电子 支付 的 安全 性 对 支付 模式 的 管理 水 平 、 信 息 传 递 技术 等 也 提出 了 很 高 的 


82 电子 现金 


电子 现金 (E-cash) 是 一 种 以 电子 形式 存在 的 现金 货币 ,又 称 为 电子 货币 或 数字 现金 ， 
是 现实 货币 的 数字 模拟 。 它 把 现金 数值 转换 成 为 一 系列 加 密 的 序列 数 ,通过 这 些 序列 数 
来 表示 现实 中 各 种 金额 的 币值 。 电 子 现 金 使 用 时 与 纸 质 现金 类 似 ,多 用 于 小 额 支付 或 微 
支付 ,是 一 种 储 值 型 的 支付 工具 ,可 以 实现 脱 机 处 理 。 

客户 在 开展 电子 现金 业务 的 电子 银行 设立 账户 并 在 账户 内 存 钱 ,就 可 以 用 兑换 的 电 
子 现 金 进行 购物 。 电 子 现 金 作 为 以 电子 形式 存在 的 现金 货币 ,同样 具有 传统 货币 的 价值 
度量 .流通 手段 .储蓄 手段 和 支付 手段 4 种 基本 功能 。 

电子 现金 是 以 荷兰 为 发 源 地 开发 出 来 的 ,其 创立 者 是 被 誉 为 电子 现金 之 父 的 美 籍 荷 
兰 人 David Chaum。 他 于 20 世纪 70 年 代 末 开始 研究 如 何 制作 电子 现金 ,并 于 1982 年 提 
出 了 世界 上 第 一 种 电子 现金 方案 。 该 方案 是 一 个 在 线 的 ,基于 RSA 盲 签名 的 完全 匿名 
电子 现金 方案 ,安全 性 基于 RSA 、 散 列 函 数 和 随机 性 假设 , 提 款 和 支付 时 采用 分 割 选择 技 
术 。 虽 然 该 方案 很 不 实用 ,但 为 以 后 电子 现金 的 研究 奠定 了 基础 。 

Franklin 和 Yung 提出 了 第 一 个 基于 离散 对 数 的 离线 电子 现金 方案 ,从 而 为 电子 现 
金 的 发 展开 辟 了 除 RSA 外 的 另 一 条 道路 。 

1992 年 Brands 最 早 利用 限制 性 盲 签名 提出 了 一 个 离线 、 完 全 匿名 的 电子 现金 方案 。 
该 方案 的 安全 性 基于 Schnorr 签名 和 素数 阶 群 上 的 表示 问题 ( 即 Brands 假设 ) ,是 迄今 为 
止 效 率 最 高 的 方案 之 一 ,已 经 成 为 一 个 经 典 的 电子 现金 方案 。 
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821 电子 现金 的 基本 特性 


电子 现金 是 纸币 现金 的 电子 化 ,因此 ,电子 现金 应 具有 纸币 现金 的 一 般 特 性 ,由 于 它 
以 数字 化 形式 存在 ,还 必须 具有 一 些 额 外 特性 以 保证 其 安全 性 。 总 的 来 说 ,电子 现金 应 
具有 的 特性 有 以 下 几 点 。 


1. 独立 性 (independence) 


电子 现金 的 安全 性 不 能 只 靠 物理 上 的 安全 来 保证 ,还 必须 通过 电子 现金 自身 使 用 的 
各 项 密码 技术 来 保证 电子 现金 的 安全 以 及 在 Internet 上 传输 过 程 的 安全 。 


2. 不 可 重用 性 (unreuseablility) 


电子 现金 只 能 使 用 一 次 ,重复 花费 应 能 很 容易 地 被 检查 出 来 ,这 是 电子 现金 的 一 个 
额外 需求 ,因为 普通 现金 不 存在 重复 花费 现象 。 


3. 匿名 性 (anonymous) 


银行 和 商家 相互 勾结 也 不 能 跟踪 电子 现金 的 使 用 ,也 就 是 说 无 法 将 电子 现金 和 用 户 
的 购买 行为 联系 到 一 起 ,从 而 隐蔽 电子 现金 用 户 的 购买 历史 。 


4. 不 可 伪造 性 (unforgeability) 


用 户 不 能 制作 假币 ,包括 两 种 情况 : 一 是 用 户 不 能 凭空 制造 有 效 的 电子 现金 ;二 是 用 
户 即使 从 银行 提取 N 个 有 效 的 电子 现金 后 ,也 不 能 根据 提取 和 支付 这 N 个 电子 现金 的 
信息 制造 出 有 效 的 电子 现金 。 


5. 可 传递 性 (transferability) 


电子 现金 像 普 通 现金 一 样 ,不 需要 经 过 银行 中 介 就 能 在 用 户 之 间 任 意 转让 、 流 通 , 且 
不 能 被 跟踪 。 由 于 一 个 可 传递 的 电子 现金 必须 加 入 所 有 经 手 用 户 盲 化 的 身份 信息 ,以 便 
可 以 跟踪 是 否 有 用 户 对 这 个 电子 现金 进行 了 重复 使 用 ,因此 电子 现金 在 传递 过 程 中 其 大 
小 必然 会 随 着 每 一 次 转移 而 增加 ,导致 目前 电子 现金 还 无 法 实现 可 传递 性 。 


6. 可 分 性 (divisibility) 


电子 现金 不 仅 能 作为 整体 使 用 .还 应 能 被 分 为 更 小 的 部 分 多 次 使 用 ,只 要 各 部 分 的 
面值 之 和 与 原 电 子 现金 面值 相等 ,就 可 以 进行 任意 金额 的 支付 。 

其 中 ,独立 性 、 不 可 伪造 性 、 可 传递 性 和 可 分 性 是 对 普通 现金 和 电子 现金 都 要 求 具有 
的 特性 ,而 不 可 重复 花费 和 匿名 性 则 是 对 电子 现金 的 特有 要 求 。 

另外 ,电子 现金 还 应 能 够 安全 地 存储 在 硬盘 IC 卡 、 电 子 钱包 或 电子 现金 专用 软件 等 
特殊 用 途 的 设备 中 ,并 对 电子 现金 的 存储 、 转 让 有 严格 的 身份 认证 等 安全 措施 。 

仅 从 技术 上 讲 , 各 个 银行 都 可 以 发 行 电子 现金 .如 果 不 加 以 控制 ,电子 商务 将 不 可 能 
正常 发 展 ,甚至 由 此 带 来 相当 严重 的 经 济 金融 问题 。 电 子 现金 的 安全 使 用 也 是 一 个 重要 
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的 问题 ,包括 限于 合法 人 使 用 、 避 免 重 复 使 用 等 。 对 于 无 国界 的 电子 商务 应 用 来 说 ,电子 
现金 还 在 税收 法律 ,外汇 汇率 、 货 币 供应 和 金融 危机 等 方面 存在 大 量 的 潜在 问题 。 有 必 
要 制定 严格 的 经 济 金融 管理 制度 ,保证 电子 现金 的 正常 运作 。 


822 电子 现金 系统 中 使 用 的 密码 技术 


为 了 实现 上 述 电 子 现金 所 需 的 各 种 特性 ,就 必须 采取 各 种 技术 手段 ,电子 现金 中 常 
用 的 密码 技术 手段 有 以 下 几 种 。 


1. 盲 签名 


用 户 将 待 签名 的 消息 (电子 现金 ) 经 " 讶 变换 ”后 发 送 给 银行 进行 盲 签名 ,银行 并 不 知 
道 所 签发 消息 (电子 现金 ) 的 具体 内 容 , 该 技术 用 于 实现 电子 现金 的 匿名 性 。 


2. 分 割 选择 技术 


在 盲 签名 中 ,银行 并 不 知道 电子 现金 的 内 容 ,怎么 敢 随 便签 名 呢 ? 因 此 ,必须 要 让 银 
行 大 致知 道 所 签 电 子 现金 的 内 容 , 这 是 通过 分 割 选择 技术 实现 的 。 

分 割 选择 技术 是 一 种 涉及 两 方 的 协议 ,协议 中 的 一 方 试图 说 服 男 一 方 相信 他 所 发 送 
的 数据 是 根据 他 们 先前 达成 的 一 致 而 诚实 地 构造 出 来 的 。 

用 户 在 提取 电子 现金 时 ,不 能 让 银行 知道 电子 现金 中 用 户 的 身份 信息 ,但 银行 需要 
知道 提取 的 电子 现金 是 正确 构造 的 (是 该 面值 的 )。 分 割 选择 技术 是 用 户 正确 构造 N 个 
电子 现金 传 给 银行 ,银行 随机 抽取 其 中 的 N 一 1 个 让 用 户 给 出 它们 的 构造 ,如 果 构 造 是 正 
确 的 ,银行 就 认为 另 一 个 的 构造 也 是 正确 的 ,并 对 它 进 行 签名 。 用 户 如 果 想 伪造 一 张大 
额 电子 现金 欺骗 银行 , 则 只 有 1/N 的 概率 能 成 功 (该 伪造 的 电子 现金 恰好 没 被 银行 
抽 中 )。 

分 割 选择 技术 是 验证 货币 正确 性 的 零 知识 证 明 的 一 个 工具 ,同时 又 保持 了 用 户 的 匿 
名 性 。 但 分 割 选择 技术 使 通信 、 计 算 和 存储 的 开销 加 大 ,导致 电子 现金 系统 效率 低下 , 随 
后 出 现 的 部 分 盲 签 名 技术 对 其 做 了 一 定 的 改进 。 


3. 零 知 识 证 明 


用 户 向 验证 者 (银行 ) 证 明 并 使 其 相信 自己 知道 或 拥有 某 一 消息 ,但 证 明 过 程 不 需 向 
验证 者 泄漏 任何 关于 被 证 明 消 息 的 信息 。 零 知识 证 明 由 于 不 需要 向 银行 透露 某 些 用 户 
的 信息 ,因此 也 能 实现 电子 现金 的 匿名 性 ,而 且 可 实现 条 件 匿名 。 


4. 认证 


认证 一 方面 是 鉴别 通信 中 信息 发 送 者 是 真实 的 而 不 是 假冒 的 ; 另 一 方面 是 验证 被 传 
送信 息 是 正确 和 完整 的 ,没有 被 自 改 . 重 放 或 延迟 。 电 子 现金 在 花费 或 传递 之 前 必须 先 
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5. 离线 鉴别 技术 


离线 鉴别 技术 的 核心 是 在 没有 银行 等 第 三 方 参与 的 条 件 下 ,完成 对 电子 现金 真实 性 
的 鉴别 。 目 前 ,离线 鉴别 技术 主要 是 通过 数字 签名 来 实现 的 。 新 的 非 数字 签名 方案 有 基 
于 散 列 链 的 Payword 系统 以 及 基于 信息 隐藏 的 数字 水 印 技术 。 


823 电子 现金 的 支付 模型 和 实例 


1. 电子 现金 的 支付 模型 和 支付 协议 


电子 现金 在 其 生命 周期 中 一 般 要 经 历 4 个 过 程 : 初始 化 、 提 款 、 支 付 和 存款 ,涉及 用 
户 、 商 家 和 银行 (或 可 信 第 三 方 、 经 纪 人 ) 三 方 。 电 子 现金 的 基本 流通 模式 如 图 8. 2 所 示 。 
客户 与 银行 执行 取款 协议 从 银行 提取 电子 现金 ;客户 与 商家 执行 支付 协议 支付 电子 现 
金 ; 商 家 与 银行 执行 存款 协议 ,将 交易 所 得 的 电子 现金 存 人 银行 。 电 子 现 金 支付 模型 如 
图 8.3 所 示 。 


四 购买 电子 现金 
客 
户 回 银行 签名 生成 电子 现金 


一 


© @@ 确认 
现金 确认 并 存款 


一 | 商家 


8.2 电子 现金 的 基本 流通 模式 (在 线 支 付 类 型 ) 


人 Ne 


提示 : 在 电子 现金 模型 中 ,为 了 简便 , 规 
定 客 户 不 能 向 银行 存款 ,商家 也 不 能 向 银行 取 
款 , 如 果 用 户 既 想 向 银行 存款 又 想 取款 ,他 可 ”取款 协议 
以 同时 注册 一 个 商家 ID 和 一 个 客户 ID。 

具体 来 说 ,客户 要 提取 电子 现金 ,必须 首 | _ 客户 C | 支 何 押 多 “| 商家 V 
先 在 银行 开设 一 个 账户 (需要 提供 表明 身份 的 图 8.3 ”电子 现金 支付 模型 
证 件 )。 当 客户 想 提取 电子 现金 进行 消费 时 ， 
可 以 访问 银行 并 提供 身份 证 明 ( 通 常 利用 数字 证 书 ) 。 在 银行 确认 了 客户 的 身份 后 ,银行 
可 以 向 客户 提供 一 定数 量 的 电子 现金 ,并 从 客户 账户 上 减 去 相应 的 金额 ,然后 客户 可 以 
将 电子 现金 保存 到 他 的 电子 钱包 或 智能 卡 中 。 

客户 使 用 电子 现金 向 商家 支付 商品 或 服务 费用 时 ,商家 需要 验证 电子 现金 。 根 据 商 
家 验证 电子 现金 时 是 否 需 要 银行 在 线 参与 可 分 为 离线 电子 现金 和 在 线 电子 现金 ; 

(1) 在 每 次 支付 时 ,如 果 商 家 可 以 自行 验证 电子 现金 的 真 伪 及 是 否 被 重复 花费 , 则 称 
为 离线 电子 现金 系统 。 

(2) 如 果 商 家 每 次 需要 与 银行 联机 验证 电子 现金 的 真 伪 及 是 否 重复 花费 , 则 称 为 在 
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线 电子 现金 系统 。 

如 果 电 子 现 金 不 是 伪造 的 , 则 商家 通知 客户 付款 成 功 。 最 后 银行 才 将 电子 现金 的 数 
额 存储 到 商家 的 账户 上 。 

电子 现金 支付 系统 要 求 客户 预先 购买 电子 现金 ,然后 才 可 以 购买 商品 或 服务 ,所 以 
它 属 于 一 种 预支 付 系 统 。 电 子 现金 协议 应 包括 以 下 4 个 基本 协议 ; 

(1) 取款 协议 : 它 是 从 客户 账户 中 提取 电子 现金 的 协议 。 它 要 求 客 户 和 银行 之 间 的 
通道 必须 通过 身份 鉴别 。 因 此 客户 只 有 在 向 银行 证 明 自 己 是 相应 账户 的 所 有 者 后 ,银行 
才 允 许 客户 从 其 账户 中 提取 电子 现金 。 

(2) 支付 协议 : 它 是 客户 向 商家 支付 电子 现金 的 协议 。 当 客户 选择 电子 现金 作为 支 
付 工具 时 ,客户 将 电子 现金 传送 给 商家 ,然后 商家 将 检验 电子 现金 的 有 效 性 并 将 商品 提 
供给 客户 。 

(3) 存款 协议 : 商家 利用 该 协议 存储 电子 现金 。 当 商家 将 电子 现金 存 人 到 自己 的 银 
行 账户 上 时 ,银行 将 检查 存 人 的 电子 现金 是 否 有 效 。 如 果 发 现 是 重复 花费 , 则 银行 可 以 
使 用 重用 检测 协议 来 跟踪 重复 使 用 者 的 身份 ,以 便 对 其 进行 惩罚 。 

(4) 重用 检查 协议 : 银行 或 商家 可 用 该 协议 检查 电子 现金 是 否 为 重复 花费 。 

电子 现金 的 传输 和 存储 环节 应 该 充分 加 以 考虑 。 在 公共 网 络 中 ,必须 保证 电子 现金 
在 传送 过 程 中 不 会 被 窃取 , 算 改 ,也 不 会 丢失 或 重复 接收 , 即 电子 现金 独立 性 的 需求 。 这 
需要 通过 加 密 技 术 、 签 名 技术 等 来 实现 。 电 子 现金 的 存储 也 是 十 分 重要 的 问题 ,因为 没 
有 专门 的 银行 账户 与 之 对 应 ,也 不 能 跟踪 流通 轨迹 ,所 以 一 旦 电子 现金 丢失 (如 存储 卡 丢 
失 毁坏 .硬盘 故障 等 ) ,意味 着 客户 的 货币 确实 丢失 了 ,这 需要 有 完善 的 备份 机 制 来 帮助 
客户 备份 电子 现金 。 


2. 电子 现金 系统 的 实例 


目前 已 经 使 用 的 有 3 种 电子 现金 系统 : 
。 E-Cash。 是 Digicash 公司 开发 的 在 互联 网 上 使 用 的 完全 匿名 的 安全 的 电子 现 
金 。E-Cash 由 于 采用 了 公 钥 密码 体制 ,银行 虽然 完成 了 E-Cash 的 存 取 ,但 不 能 
跟踪 E-Cash 的 具体 交易 。E-Cash 可 以 实时 转账 ,商家 和 银行 不 需要 第 三 方 服务 
中 介 介 入 。 
。 NetCash。 可 记录 的 匿名 电子 现金 系统 。 主 要 特点 是 设置 分 级 货币 服务 器 来 验 
证 和 管理 电子 现金 ,使 电子 交易 的 安全 性 得 到 保证 。 
。 Mondex。 欧 洲 使 用 的 ,以 智能 卡 为 电子 钱包 的 电子 现金 系统 。 可 以 应 用 于 多 种 
用 途 , 具 有 信息 存储 、 电 子 钱 包 、 安 全 密码 锁 等 功能 ,可 保证 安全 可 靠 。 
以 E-Cash 为 例 , 它 采用 公 钥 加 密 和 数字 签名 技术 ,保证 电子 现金 在 传递 过 程 中 的 安 
全 性 与 购物 时 的 匿名 性 。 其 支付 过 程 如 下 : 
(1) 用 户 使 用 现金 或 存款 兑换 E-Cash 现金 ,银行 对 其 要 使 用 的 电子 现金 进行 盲 签 
名 ,以 实现 该 现金 的 完全 匿名 。 
(2) 用 户 使 用 授权 的 E-Cash 现金 进行 支付 ,电子 现金 便 通过 网 络 转移 到 商家 。 商 家 
联机 向 E-Cash 银行 验证 真 伪 ,以 及 是 否 已 花费 过 。 如 果 验 证 通过 . 即 可 发 货 。 


人 = 电子 支付 的 安全 


(3) 商家 将 收 到 的 E-Cash 现金 向 银行 申请 兑付 ,银行 收回 现金 ,保留 其 序列 号 备查 
(以 防 用 户 重用 现金 ) ,再 将 等 值 的 现金 存 人 商家 的 银行 账户 。 

从 上 面 的 分 析 可 知 ,E-Cash 电子 现金 具有 如 下 特点 : 

(1) 银行 和 商家 之 间 应 有 协议 和 授权 关系 ,用 于 接收 和 清算 电子 现金 。 

(2) E-Cash 系统 采用 联机 处 理 方 式 , 而且 用 户 、 商 家 和 电子 现金 银行 都 需 使 用 
E-Cash 软件 。 

(3) 由 E-Cash 银行 负责 用 户 和 商家 之 间 资 金 的 转移 。 

(4) 电子 现金 的 验证 由 银行 E-Cash 系统 完成 ,商家 无 法 验证 ,是 一 种 在 线 电 子 现金 。 

(5) 具有 现金 的 特点 ,可 以 存 、 取 、 转 让 ,适用 于 小 额 交 易 。 


3. 电子 现金 支付 方式 存在 的 问题 


虽然 电子 现金 使 用 起 来 方便 ,快捷 ,但 也 存在 一 些 问题 ,主要 有 : 

(1) 电子 现金 没有 统一 的 国际 标准 ,目前 接受 电子 现金 的 商家 和 银行 太 少 ,不 利于 电 
子 现金 的 流通 。 

(2) 应 用 电子 现金 对 用 户 .商家 和 银行 的 软 硬 件 要 求 都 较 高 ,成 本 较 高 ,因此 , 尚 需 开 
发 出 硬 软件 成 本 低 的 电子 现金 。 

(3) 风险 较 大 。 由 于 电子 现金 是 一 串 序列 数 ,易于 复制 ,可 能 出 现 重 复 消 费 的 情况 。 
且 如 果 某 个 用 户 的 硬盘 (或 电子 钱包 ) 损 坏 , 电 子 现金 丢失 , 钱 无 法 恢复 ,用 户 将 受到 严重 
损失 。 

尽管 存在 各 种 问题 ,但 电子 现金 的 使 用 仍 呈 现 增长 势头 。 电 子 现 金 有 可 能 成 为 未 来 
网 上 贸易 中 主要 的 方便 的 交易 手段 。 

除了 上 述 这 些 技术 和 管理 问题 外 ,电子 现金 还 存在 经 济 和 法 律 方面 的 问题 ,如 税收 、 
外 汇 汇率 等 方面 问题 ,因此 有 必要 制定 严格 的 经 济 和 金融 管理 制度 ,保证 电子 现金 的 正 
常 发 展 。 
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831 不 可 伪造 性 和 独立 性 


电子 现金 的 不 可 伪造 性 可 以 通过 银行 对 电子 现金 进行 签名 来 实现 ,一 旦 银行 签 了 名 
就 表示 银行 认可 该 电子 现金 ,这 和 实现 文件 的 不 可 伪造 性 一 样 。 同 时 ,由 于 任何 人 截获 
某 个 没有 花费 的 电子 现金 ,就 可 以 使 用 它 ,因此 银行 将 电子 现金 发 送 给 客户 时 ,必须 用 客 
户 的 公 钥 对 电子 现金 进行 加 密 以 防止 被 截获 。 这 样 电子 现金 的 安全 就 不 依赖 于 通信 线 
路 的 安全 ,实现 了 电子 现金 的 独立 性 。 客 户 收 到 后 , 先 用 客户 的 私 钥 解密 ,再 用 银行 的 公 
钥 验 证 签名 ,如 图 8. 4 所 示 ,从 而 判断 电子 现金 是 否 是 真实 有 效 的 。 
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8.4 电子 现金 不 可 伪造 性 和 独立 性 的 实现 


832 匿名 性 


Chaum 在 1982 年 提出 的 第 一 个 电子 现金 方案 采用 了 盲 签名 技术 。 盲 签名 不 仅 可 以 
保护 用 户 的 匿名 性 和 交易 的 不 可 跟踪 性 ,防止 将 现金 和 支付 现金 的 客户 联系 起 来 ,而 且 
还 具有 普通 数字 签名 的 特点 ,可 以 保证 电子 现金 的 不 可 伪造 性 ,以 防止 用 户 算 改 电子 现 
金 。 这 种 完全 匿名 电子 现金 可 以 模仿 传统 的 纸币 ,实现 隐蔽 电子 现金 的 流通 历史 ,保护 
使 用 者 的 隐私 的 效果 。 


1. 完全 匿名 的 电子 现金 方案 


Chaum 提出 的 讶 签名 方案 包括 了 两 个 实体 : 发 送 者 和 签名 者 。 在 该 方案 中 ,签名 者 
只 知道 被 签 消息 的 类 型 ,而 不 知道 类 型 的 具体 实例 ,因此 签名 者 并 不 知道 消息 的 内 容 。 
该 方案 提供 了 完美 的 不 可 关联 性 , 即 除了 发 送 者 ,其 他 人 无 法 将 消息 -签名 对 和 签名 者 提 
供 的 盲 签名 联系 起 来 。 

下 面 以 基于 RSA 的 盲 签名 实现 方案 E-Cash 为 例 介 绍 完全 匿名 电子 现金 的 实现 
模型 。 

在 该 模型 中 , 设 (d,n) 和 (e,n) 分 别 是 电子 现金 发 行 银行 发 行 的 针对 每 一 个 货币 的 私 
钥 和 公 钥 。r 为 发 送 者 提供 的 盲 因子 。 

1) 初始 化 协议 

(1) 银行 选择 大 素数 pq. 计算 "一 pq, 计算 欧 拉 函数 p(n) 二 (p 一 1)(g 一 1)。 

(2) 银行 选择 一 个 与 p(n) 互 素 的 整数 。 作为 公 钥 ,并 且 1<e<<p(z) 。 

(3) 使 用 扩展 的 欧 几 里 得 算法 计算 私 钥 d, 即 ed 三 1 (mod g(n))。 

2) 取款 协议 

(1) 盲 化 : 用 户 随机 选择 mx 作为 电子 现金 的 序列 号 和 一 个 随机 产 出 的 盲 化 因子 +， 
计算 x 二 mr mod n, 然 后 发 送 盲 化 消息 x 给 银行 。 这 样 就 实现 了 对 消息 m 的 盲 化 ,使 银 
行 不 能 从 工 识别 出 m 或 r。 

(2) 签名 : 银行 用 自己 的 私 钥 d 对 x 签名 , 即 计算 y= 二 x* mod n, 并 发 送 y 给 用 户 , 同 
时 银行 从 用 户 账户 上 减 去 相应 金额 的 钱 。 

(3) 脱 言 运算 : 用 户 收 到 > 后 ,用 7 除 y 就 得 到 银行 对 m 的 数字 签名 = ,这 是 因为 


这 三 浊 六 还 谨 三 (0 三 他)M7E (nod n) 
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说 明 : 因为 ed 二 kyp(n) 十 1, 由 于 gcd(r,n) 二 1, 根 据 欧 拉 定理 可 得 . r“ 寺 rr (mod n)。 

3) 支付 协议 

现在 用 户 就 可 以 将 电子 现金 (m,x) 发 送 给 商家 ,从 商家 那里 购物 。 商 家 用 相应 的 公 
钥 (e,n) 可 以 验证 银行 对 电子 现金 的 签名 =: 

x =m* modn=m 

4) 存款 协议 

商家 将 电子 现金 (m,x) 传 送 给 银行 ,银行 通过 验证 签名 确定 电子 现金 的 有 效 性 ,银行 
通过 查询 数据 库 确定 该 电子 现金 未 被 花费 过 ,将 商家 的 账号 增加 相应 的 金额 ,同时 在 已 
花费 的 电子 现金 数据 库 中 存 入 该 电子 现金 的 序列 号 等 信息 。 

在 上 述 模 型 中 ,很 好 地 解决 了 电子 现金 匿名 性 的 问题 ,但 客户 如 果 向 银行 提交 一 枚 
面值 是 10 元 的 现金 , 却 向 银行 声称 该 现金 的 面值 是 1 元 ,要 求 银行 签名 ,银行 因 无 法 识 
别 盲 消息 的 内 容 , 也 会 签名 ,从 而 被 客户 欺骗 。 为 此 ,必须 利用 分 割 选择 协议 使 银行 大 体 
知道 他 要 签名 的 盲 消息 是 什么 ,改进 后 的 模型 如 下 : 

(1) 如 果 发 送 者 需要 一 枚 电子 现金 , 则 他 需要 准备 k 枚 相同 面额 的 电子 现金 Mi ， 
Ms，,… ,Mi ,其 内 容 包 括 银行 名 、 面 值 和 随机 序列 号 。 为 防止 重复 ,k 的 序列 号 空间 要 足 
够 大 。 

(2) 发 送 者 选择 个 盲 因子 r;(0 二 i<k) ,并 为 每 个 盲 因子 x; 计算 zx; 二 mri* mod n, 从 
而 得 到 个 x;, 然 后 将 它们 发 送 给 签名 者 进行 签名 。 

(3) 由 于 签名 者 需要 检查 电子 现金 的 真实 性 ,因此 签名 者 从 k& 个 电子 现金 中 随机 选 
择 其 中 4 一 1 个, 要求 发 送 者 发 送 这 & 一 1 个 电子 现金 的 盲 因子 ,以 便签 名 者 检查 这 一 1 
个 电子 现金 内 容 的 真实 性 。 显 然 , 只 要 & 值 足够 大 ,银行 被 发 送 者 欺骗 的 可 能 性 极 小 。 

(4) 如 果 检 查 正确 ,签名 者 用 自己 的 私 钥 对 剩余 的 电子 现金 计算 盲 签名 > 一 z4 mod 
n, 从 而 承认 电子 现金 的 有 效 性 ,并 将 其 发 回 给 发 送 者 。 

(5) 发 送 者 除去 盲 因 子 ,获得 最 终 的 电子 现金 ,由 于 电子 现金 的 序列 号 被 盲 因 子 保 
护 ,因此 签名 者 无 法 知道 发 送 者 手中 电子 现金 的 序列 号 。 

(6) 电子 现金 的 接收 者 可 随时 使 用 签名 者 的 公 钥 验证 电子 现金 上 的 银行 签名 。 

而 用 户 由 于 无 法 得 到 银行 的 私 钥 , 因 此 它 不 能 根据 已 经 得 到 的 信息 伪造 出 一 个 合法 
的 电子 现金 。 

上 述 模型 中 采取 了 分 割 选择 技术 ,其 缺点 是 浪费 了 系统 开销 ,目前 常 使 用 零 知 识 证 
明 技 术 来 解决 这 个 问题 。 

构造 电子 现金 是 盲 签 名 技术 最 为 典型 的 应 用 ,并 且 许 多 盲 签 名 方案 (比如 基于 RSA 
的 盲 签名 、Schnorr 盲 签名 等 ) 均 可 以 应 用 到 电子 现金 系统 中 。 

完全 匿名 电子 现金 方案 的 缺点 在 于 没有 离线 的 重用 检测 技术 ,银行 必须 在 线 检测 电 
子 现金 是 否 已 花费 过 。 为 此 ,需要 通过 条 件 匿 名 的 机 制 来 实现 离线 的 重用 检测 技术 。 


2. 条 件 匿名 的 电子 现金 方案 


电子 现金 的 完全 匿名 性 也 会 带 来 问题 ,例如 ,这 种 特性 可 能 被 一 些 犯 罪 分 子 用 来 进 
行 洗钱 ,也 可 能 进行 敲诈 勒索 、 非 法 购买 等 。 所 以 有 时 候 希 望 电子 现金 的 匿名 性 在 特定 
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情况 下 是 可 以 撤销 的 。 

为 此 ,人 们 提出 了 可 撤销 匿名 (条 件 匿名 ) 的 电子 现金 系统 。 该 类 电子 现金 系统 引入 
了 一 个 可 信 的 第 三 方 (TTP)。 它 可 以 在 银行 或 法 律 部 门 提出 跟踪 要 求 并 提供 必要 的 信 
息 以 后 ,对 电子 现金 或 电子 现金 的 持 有 者 进行 跟踪 。 除 可 信 第 三 方 外 ,任何 人 或 组 织 都 
无 法 实现 对 用 户 的 跟踪 。 

可 撤销 匿名 的 电子 现金 方案 又 称 为 公平 电子 现金 (fair electronic cash) 方 案 。 它 可 
以 通过 公平 盲 签名 (fair blind signature) 方 案 来 实现 。 所 谓 公平 盲 签名 是 指 在 可 信 方 和 
签名 者 联合 起 来 时 ,可 以 对 签名 进行 追踪 ,也 就 是 说 ,如 果 没 有 可 信 方 的 介入 , 它 就 相当 
于 盲 签名 ;如 果 可 信 方 介入 , 它 就 相当 于 一 般 的 签名 。 这 样 可 防止 利用 电子 现金 的 完全 
匿名 性 进行 犯罪 活动 。 

Stadler 于 1995 年 提出 的 公平 盲 签名 方案 模型 主要 包括 若干 发 送 者 、 签 名 者 .可 信 方 
(如 鉴定 人 或 托管 者 ) 签名 协议 和 连接 恢复 协议 ,如 图 8. 5 所 示 。 签 名 协议 发 生 在 发 送 
者 和 签名 者 之 间 ,是 一 个 言 签 名 协议 , 即 发 送 者 可 以 通过 签名 协议 获得 消息 的 有 效 签名 ， 
但 是 签名 者 不 能 根据 他 所 知 的 信息 Sign' 推断 出 发 送 者 最 终 获 得 的 消息 -签名 对 。 


姓名 
发 送 者 签名 协议 


电子 现金 1, 


8.5 ”公平 盲 签 名 的 模型 


连接 恢复 协议 是 签名 者 和 可 信 方 (TTP) 之 间 的 一 个 协议 ,通过 该 协议 可 以 识别 出 签 
名 者 签署 的 消息 或 消息 的 发 送 者 。 

根据 验证 方 接收 的 信息 类 型 ,公平 盲 签 名 方案 可 分 为 两 类 : 

类 型 工 : 给 定 签名 者 的 协议 观察 值 ,可 信 方 可 以 发 出 信息 使 得 签名 者 或 其 他 人 认 出 
相应 的 消息 -签名 对 , 即 可 信 方 可 从 盲 化 的 签名 中 提取 出 签名 。 

类 型 工 : 给 定 消息 -签名 对 后 ,可 信 方 可 发 出 信息 使 签名 者 能 确定 相应 的 用 户 身份 或 
找到 相应 的 签名 协议 观察 值 。 

上 述 两 类 公平 讶 签名 方案 可 用 于 构建 不 同类 型 的 支付 系统 。 在 基于 类 型 1 的 支付 
系统 中 ,权威 机 构 能 够 发 现 可 疑 现 金 的 目的 地 ,这 称 为 货币 追踪 (coin tracing) ,这 样 可 防 
止 用 敲诈 勒索 等 方式 得 到 的 钱 进行 消费 。 在 基于 类 型 开 的 支付 系统 中 ,权威 机 构 可 以 确 
定 可 疑 现 金 的 来 源 , 这 称 为 用 户 追 踪 (owner tracing) ,可 用 来 防止 洗钱 。 因 此 基于 公平 
盲 签 名 方案 的 支付 系统 可 以 有 效 地 阻止 利用 电子 现金 的 匿名 性 进行 犯罪 活动 。 

实现 公平 盲 签名 有 很 多 种 方法 ,一 种 比较 简单 方法 是 用 户 在 可 信 方 注册 。 

其 主要 思想 是 : 用 户 在 可 信 方 注册 两 个 假名 ,其 中 一 个 假名 用 在 签名 协议 中 , 另 一 个 
则 作为 签名 的 一 部 分 。 这 样 ,由 于 可 信 方 知道 两 个 假名 直接 的 联系 ,就 可 以 将 签名 协议 
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的 观察 值 和 相应 的 签名 联系 起 来 了 。 

如 果 用 户 使 用 同一 假名 两 次 以 上 ,那么 签名 者 就 可 以 将 两 次 签名 协议 的 观察 值 关联 
起 来 ,而 且 其 他 任何 人 也 很 容易 把 相应 的 两 个 签名 关联 起 来 。 这 样 该 体制 就 不 满足 匿名 
性 中 的 不 可 关联 性 要 求 。 如 果 要 满足 此 要 求 , 则 要 求 用 户 每 次 要 签名 前 都 到 可 信 方 处 进 
行 注册 。 然 而 这 样 相当 于 需要 可 信 方 在 线 , 效 率 会 降低 。 一 种 折 中 的 方法 是 用 户 每 次 多 
注册 几 对 假名 ,这 样 既 提 高 了 效率 ,又 增强 了 用 户 的 匿名 性 。 


833 多 银行 性 


大 多 数 电子 现金 方案 都 是 基于 单个 银行 发 行 电子 现金 的 模型 ,用 户 和 商家 必须 在 同 
一 家 银行 开户 。 但 在 现实 生活 中 ,多 个 电子 银行 共同 发 行 可 通用 的 电子 现金 是 比较 合理 
的 。 而 且 为 了 避免 电子 现金 引起 宏观 经 济 的 不 稳定 ,电子 现金 的 发 行 也 需要 在 中 央 银 行 
的 监控 下 ,由 一 群 银行 发 行 , 即 一 个 可 行 的 电子 现金 系统 应 该 具有 多 银行 性 的 特点 。 

Lysyanskaya 和 Ramzan 在 1998 年 首次 提出 “多 银行 "(multiple banks) 的 概念 ,并 提 
出 用 群 盲 签名 设计 在 线 的 匿名 的 多 银行 电子 现金 系统 。 这 个 多 银行 的 电子 现金 方案 是 
完全 匿名 的 ,但 在 所 用 的 群 言 签 名 中 数据 传输 量 大 ,签名 太 长 ,影响 了 实用 性 。 一 般 认 
为 ,多 银行 电子 现金 要 求 具备 以 下 特性 : 

(1) 银行 不 能 追踪 自己 发 行 的 电子 现金 。 如 果 银 行 对 一 个 用 户 发 布 了 电子 现金 , 当 
发 行 银 行 以 后 看 到 这 笔 现 金 的 时 候 , 它 也 不 能 确定 是 哪个 用 户 进行 了 消费 。 

另外 ,如 果 用 户 消 费 了 若干 笔 电子 现金 , 当 银行 看 到 这 些 现金 时 , 它 也 不 能 够 确定 消 
费 者 为 同一 个 用 户 。 这 样 ,就 像 真 实 的 现金 一 样 ,用 户 可 以 以 完全 匿名 的 方式 进行 消费 。 

(2) 商家 仅 需要 调用 一 个 验证 过 程 , 利 用 电子 现金 银行 群 的 群 公 钥 来 验证 接收 到 的 
电子 现金 的 合法 性 ,这 个 过 程 不 考虑 电子 现金 的 具体 发 行 银行 ,这 就 使 得 商家 在 接受 现 
金 的 时 候 更 加 便利 。 但 也 应 注意 到 : 即使 对 现金 的 签名 是 合法 的 ,这 笔 现 金 也 不 一 定 能 
够 花费 ,比如 重复 花费 问题 。 

(3) 整个 发 行 银行 群 只 有 一 个 公 钥 。 公 钥 的 长 度 应 该 独立 于 银行 的 个 数 。 另 外 ,在 
新 的 银行 加 入 时 , 群 公 钥 应 该 保持 不 变 。 这 样 , 即 使 在 大 量 的 银行 加 入 群 时 ,方案 仍然 是 
非常 实用 的 。 

(4) 给 定 一 笔 电子 现金 ,只 有 中 央 银 行 可 以 确定 电子 现金 的 发 行 银 行 ,即使 商家 在 接 
收 到 电子 现金 时 可 以 轻易 地 验证 电子 现金 的 合法 性 ,也 不 能 够 确定 现金 的 发 行 银 行 。 这 
种 限制 使 得 消费 者 的 身份 和 所 使 用 的 银行 身份 都 是 秘密 的 。 

(5) 银行 群 的 任何 一 个 子 集 (即使 包括 中 央 银 行 ) 串 通 起 来 ,都 不 能 冒充 某 个 无 率 的 
银行 发 行 电子 现金 。 也 就 是 没有 任何 实体 可 以 伪造 其 他 银行 发 行 电子 现金 。 

(6) 任何 由 合谋 群 成 员 构 成 的 成 员 子 集 都 无 法 伪造 出 一 个 合法 的 群 签名 ,并 逃脱 中 
央 银 行 的 身份 追踪 。 


834 不 可 重用 性 
重复 花费 的 问题 主要 发 生 在 离线 的 电子 现金 系统 中 ,这 是 因为 在 线 电子 现金 系统 
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中 ,商家 在 交易 过 程 中 会 和 银行 在 线 验证 电子 现金 的 合法 性 (有 无 重复 花费 ) 。 目 前 ,在 
离线 的 电子 现金 系统 中 ,防止 重复 花费 有 两 种 方法 : 一 种 是 使 用 防 算 改 的 设备 (如 防 自 改 
的 信用 卡 ) 存 储 电 子 现 金 , 它 可 以 使 某 个 电子 现金 在 使 用 完 之 后 自动 被 删除 ,从 而 让 非法 
用 户 无 机 可 乘 ; 另 一 种 是 事后 追查 机 制 , 即 对 于 重复 使 用 的 电子 现金 ,银行 或 者 可 信 第 三 
方 可 以 通过 公平 盲 签名 方案 追踪 重复 花费 者 的 身份 .从 而 对 其 进行 处 罚 。 

由 Chaum 提出 的 第 一 个 电子 现金 系统 为 在 线 电 子 现金 系统 。 为 了 防止 电子 现金 的 
重用 , 它 需 要 银行 在 数据 库 中 记录 所 有 已 花费 电子 现金 的 序列 号 。 每 当 客 户 要 使 用 电子 
现金 时 , 均 要 查询 一 次 数据 库 以 在 线 检测 是 否 为 重复 花费 ,因此 这 种 模型 只 适用 于 在 线 
支付 系统 。 在 线 电子 现金 系统 实现 起 来 比较 简单 ,但 缺点 是 银行 容易 成 为 整个 系统 的 通 
信和 瓶颈 ,而 且 交 易 成 本 也 比较 高 。 

在 离线 电子 现金 系统 中 ,客户 和 商家 在 进行 交易 时 不 必 实 时 地 与 银行 进行 联机 , 商 
家 可 在 事后 与 银行 联系 ,将 对 应 的 金额 转 入 自己 的 账户 ,从 而 避免 由 于 重用 检测 而 带 来 
的 通信 和 负担。 然而 离线 电子 现金 系统 实现 起 来 比较 复杂 ,如 何 防止 重复 花费 是 离线 电子 
现金 系统 必须 要 解决 的 问题 。 

为 了 保证 电子 现金 的 匿名 性 ,同时 又 可 以 防止 重用 ,人 们 提出 了 条 件 匿名 机 制 。 这 
个 条 件 就 是 : 如 果 客 户 是 诚实 的 ,而 且 仅 一 次 性 使 用 电子 现金 ,那么 他 的 身份 就 不 会 被 识 
别 出 来 。 但 他 一 旦 进行 了 重复 花费 (double spending) ,他 的 身份 就 会 被 识别 出 来 ,这 是 
一 种 “事后 检测 ”的 方法 。 所 以 说 条 件 匿名 机 制 只 针对 不 诚实 的 客户 生效 ,可 以 揭露 那些 
试图 重用 电子 现金 的 客户 身份 。 一 个 合理 的 电子 现金 系统 应 该 是 不 完全 或 条 件 匿名 的 。 
目前 对 于 电子 现金 主要 有 两 种 重用 检测 机 制 : 

(1) 通过 秘密 分 割 技术 实现 条 件 匿 名 性 。 该 方法 通过 分 割 选择 技术 实现 对 重复 花费 
者 的 检测 。 但 这 种 方法 由 于 计算 复杂 性 高 而 影响 了 支付 的 效率 。 

(2) 观察 器 。 该 方法 利用 一 个 防 算 改 的 硬件 装置 来 阻止 电子 现金 的 重复 花费 。 

基于 条 件 匿名 的 电子 现金 重用 检测 机 制 虽然 能 检测 出 电子 现金 被 重用 ,但 由 于 是 事 
后 检测 ,因此 仍 存在 很 大 的 风险 和 不 便 。 如 果 等 到 用 户 已 经 重复 花费 了 电子 现金 后 才 去 
“发 现 ” 他 ,往往 是 不 安全 的 ,应 该 采取 “阻止 "用 户 重 复 花 费 电子 现金 的 方法 。 防 窜改 卡 
就 是 通过 去 掉 已 经 花费 的 电子 现金 或 者 通过 使 已 经 花费 的 电子 现金 变 为 无 效 来 防止 重 
复 花 费 。 其 基本 原理 是 在 用 户 的 电子 钱包 中 装 入 观察 器 。 

提示 : 可 见 , 条 件 匿 名 机 制 既 可 实现 匿名 性 ,又 可 通过 事后 检测 来 实现 不 可 重用 性 。 


835 可 转移 性 


如 果 要 使 一 个 电子 现金 方案 可 以 被 方便 高 效 地 应 用 , 它 必须 具有 可 分 性 或 可 转移 
性 。 这 是 因为 通常 一 个 电子 货币 只 能 表示 一 种 币值 ,如 果 这 个 币值 过 高 , 则 小 于 该 币值 
的 交易 无 法 进行 ;如 果 币 值 过 低 , 则 在 消费 时 必须 执行 许多 次 电子 货币 的 支付 协议 ,使 得 
存储 量 、 通 信 量 与 计算 量 会 很 大 。 例 如 ,用 户 有 一 个 电子 货币 币值 为 5 元, 如果 一 件 商品 
的 价格 为 3. 99 元 ,用 户 则 不 能 进行 消费 (当然 他 也 可 以 消费 ,但 他 会 损失 1. 01 元 ,这 对 
他 显然 是 不 合理 的 ) ,当然 用 户 也 可 以 在 提取 电子 货币 时 只 提取 多 个 币值 最 小 的 电子 货 
币 , 如 0.01 元 ,但 这 时 他 如 果 购 买 价值 为 3. 99 元 的 商品 时 ,就 必须 执行 399 次 消费 协议 ， 
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这 样 的 方案 效率 会 很 低 。 

有 鉴于 此 ,人 们 提出 了 电子 现金 的 可 分 性 与 可 转移 性 两 个 属性 ,只 要 具有 这 两 个 属 
性 之 一 就 可 解决 上 述 问 题 。 假 设 电子 现金 具有 可 分 性 , 则 用 户 可 以 将 5 元 面值 的 货币 任 
意 分 为 多 个 其 他 面值 的 货币 ;假设 电子 现金 具有 可 转移 性 , 则 商家 可 以 将 1. 01 元 不 经 过 
银行 直接 传递 给 用 户 。 

电子 现金 的 可 转移 性 (transferability) 是 指 在 一 次 支付 中 的 收 款 者 可 以 在 以 后 的 另 
一 次 支付 中 不 用 银行 的 参与 将 收 到 的 电子 现金 支付 给 其 他 人 ,可 转移 性 也 称 为 可 传递 
性 。 一 个 电子 货币 的 可 转移 性 可 以 由 图 8. 6 来 表示 。 


存 入 现金 


转移 现金 


TT SE SS 


8.6 ”电子 现金 的 可 转移 性 


Chaum 与 Pederson 中 用 信息 论 的 方法 证 明了 无 论 是 无 条 件 匿 名 还 是 条 件 匿名 , 电 
子 现 金 在 转移 过 程 中 大 小 必然 会 随 着 每 一 次 的 转移 而 增加 , 即 一 个 电子 货币 的 大 小 与 其 
被 转移 的 次 数 成 正比 。 这 一 点 可 从 直观 理解 : 一 个 可 传递 的 货币 必须 骨 入 所 有 经 手 者 的 
身份 信息 ,以 便 可 以 揭示 到 底 是 哪个 用 户 对 这 个 电子 货币 进行 了 重复 花费 。 

基于 这 个 原因 ,人 们 对 于 电子 现金 可 转移 性 的 研究 兴趣 基本 上 消失 了 ,而 将 目光 更 
多 地 关注 到 电子 现金 的 可 分 性 的 实现 上 。 


836 可 分 性 


在 实际 交易 中 经 常 需要 支付 任意 金额 的 现金 ,这 通常 是 通过 ” 找 零 "实现 的 。 电 子 现 
金 在 使 用 时 最 好 也 要 能 够 找 零 , 即 能 够 将 现金 分 解 成 多 个 任意 面值 的 零钱 ,这 称 为 电子 
现金 的 可 分 性 。 可 分 电子 现金 系统 能 够 让 用 户 进 行 多 次 合法 的 精确 支付 。 

电子 现金 的 可 分 性 在 实现 起 来 与 传统 现金 的 可 分 性 有 明显 区 别 。 传 统 现金 的 找 零 
是 由 商家 一 方 完成 的 ,但 电子 现金 的 找 零 必须 由 用 户 完成 。 这 是 因为 ,在 电子 现金 模型 
中 ,商家 一 般 只 接受 用 户 的 现金 ,如 果 由 用 户 付 款 给 商家 ,再 由 商家 找 零 (付款 ) 给 用 户 ， 
则 增加 了 网 络 传输 的 次 数 , 增 大 了 电子 现金 系统 地 复杂 性 ,并 且 还 要 解决 电子 现金 可 传 
递 性 的 问题 (不 具有 可 传递 性 是 指 商家 不 能 在 没有 银行 参与 的 情况 下 付款 给 用 户 ) 。 

可 分 电子 现金 的 好 处 在 于 : 减少 提 款 次 数 ,降低 网 络 通信 量 ,提高 系统 效率 。 

实现 可 分 电子 现金 系统 有 以 下 两 种 途径 : 

(1) 基于 二 又 树 的 可 分 电子 现金 系统 。Okamoto 和 Ohta 在 1991 年 提出 了 基于 二 
叉 树 的 可 分 电子 现金 系统 。 它 的 基本 思想 是 将 现金 的 面值 用 一 个 二 叉 树 来 递归 表示 ,如 
图 8.7 所 示 , 即 每 一 个 节点 表示 一 定 的 面值 ,其 中 二 叉 树 的 根 节点 代表 电子 现金 的 整个 
面值 , 它 的 子 节点 表示 一 半 面 值 ,而 孙子 节点 表示 四 分 之 一 面值 , 依 此 类 推 。 它 允许 用 户 
将 处 于 二 叉 树 根 节点 的 原始 电子 现金 分 解 成 没有 直系 亲属 关系 的 子 节点 进行 支付 , 即 允 
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许 用 户 将 电子 现金 分 成 任意 金额 进行 多 次 支付 ,直到 总 数 达 到 该 电子 现金 的 总 额 为 止 。 
为 了 防止 重复 支付 ,每 个 节点 最 多 只 能 使 用 一 次 ;并 且 一 旦 某 个 节点 被 使 用 了 , 则 它 所 有 
的 子 节点 和 祖先 节点 都 不 能 再 被 使 用 。 

提示 : 电子 现金 进行 等 额 分 割 实 现 起 来 更 方便 。 


w2 


一 一 W/4 


8.7 用 二 叉 树 方法 实现 的 可 分 电子 现金 方案 


(2) 引入 可 信 方 ,负责 防止 超额 支付 ,该 可 信 方 在 用 户 每 次 支付 后 检查 用 户 剩 余 的 款 
项 ,这 样 电子 现金 的 支付 协议 就 不 需要 检查 是 否 超额 支付 了 。 

但 电子 现金 的 可 分 性 同 电子 现金 的 可 转移 性 、 多 银行 性 一 样 ,到 目前 为 止 还 没有 很 
好 的 解决 方法 。 


837 电子 现金 的 发 展 趋势 


自从 1982 年 Chaum 使 用 群 盲 签 名 设计 出 第 一 个 电子 现金 系统 的 模型 以 来 ,各 种 不 
同 的 电子 现金 系统 方案 相继 被 提出 来 ,该 领域 的 发 展 体现 了 如 下 的 趋势 。 


1， 从 完全 匿名 到 条 件 匿名 


1988 年 ,Chaum 首先 利用 言 签名 协议 实现 了 完全 匿名 的 电子 现金 系统 。 在 该 协议 
中 由 于 采用 了 分 割 选择 协议 ,效率 不 高 ,而 且 没 有 严格 的 安全 性 论证 ,然而 却 开创 了 进 一 
步 研 究 电子 现金 的 道路 ,为 以 后 的 研究 打下 了 基础 。 

1992 年 D. Chaum 和 T. Pedersen 提出 了 用 “ 带 观察 者 的 电子 钱包 ”实现 完全 匿名 的 
离线 电子 现金 系统 。R. Cramer 和 T. Pedersen 给 出 了 改进 方案 ,没有 青 使 用 分 割 选择 技 
术 , 且 系统 的 安全 性 基于 离散 对 数 和 随机 性 假设 ,效率 得 到 很 大 提高 。1993 年 S. Brands 
基于 Schnorr 数字 签名 和 素数 阶 群 上 的 表示 问题 给 出 了 一 个 单一 符号 的 完全 匿名 电子 现 
金 方案 ,是 目前 为 止 最 有 效 的 电子 现金 方案 。 目 前 的 电子 支付 系统 大 多 基于 这 些 单一 符 
号 电子 现金 协议 。 

后 来 人 们 开始 研究 条 件 匿名 的 电子 现金 系统 。1998 年 ,R. H. Deng 提出 了 基于 证 明 
离散 对 数 相等 和 Schnorr 盲 签 名 的 条 件 匿 名 的 电子 现金 方案 ,特点 是 TTP 完全 脱 线 , 每 
个 用 户 对 应 一 个 大 素数 ,公共 模 是 这 些 素数 的 乘积 加 1, 数 学 结构 十 分 完美 。 但 是 由 于 表 
示 电 子 现金 的 数据 太 长 ,目前 还 很 难 实用 。1999 年 ,Juels 提出 了 基于 信任 标志 的 可 信 方 
追踪 机 制 ,并 以 此 给 出 了 一 种 简单 、 高 效 、 安 全 的 可 控制 匿名 性 的 电子 现金 方案 。 它 建立 
在 目前 已 广泛 使 用 的 匿名 电子 现金 系统 的 顶部 ,只 需 对 其 做 很 小 的 改动 就 可 以 构成 可 控 
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制 匿名 的 电子 现金 系统 ,是 目前 比较 有 效 的 条 件 匿名 的 电子 现金 方案 。 
2. 从 在 线 电 子 现金 到 离线 电子 现金 


D. Chaum 提出 的 利用 盲 签名 技术 实现 完全 匿名 的 电子 现金 是 在 线 的 ,主要 是 因为 
当时 电子 商务 发 展 还 不 普及 ,网 上 交易 不 频繁 ,不 会 造成 网 络 银 行 的 阻塞 ,而 在 线 的 现金 
系统 还 可 以 实时 检测 电子 现金 的 重复 花费 问题 。 但 是 随 着 网 上 交易 的 频繁 进行 ,这 种 在 
线 的 系统 会 造成 银行 的 通信 阻塞 ,使 得 服务 失败 , 易 发 生 大 量 交易 纠纷 等 ,因此 为 了 效率 
问题 , 越 来 越 多 的 电子 现金 系统 开始 采用 银行 离线 的 方式 。 

Chan 、Frankel 和 Tsiouni 于 1995 年 给 出 了 安全 性 基于 RSA 的 可 证 明 安 全 性 的 电子 
现金 系统 ,该 系统 使 用 分 割 选择 技术 ,其 贡献 在 于 阐明 在 不 使 用 密码 协议 的 情况 下 可 以 
构造 可 证 明 安 全 性 的 离线 电子 现金 系统 。 


3. 从 银行 完全 参与 到 只 有 需要 匿名 性 撤销 时 才 参 与 


在 实现 条 件 匿名 性 的 电子 现金 系统 中 ,早期 的 系统 是 银行 (第 三 方 ) 在 顾客 建立 账户 
及 顾客 提 款 的 时 候 都 要 参与 进来 ,这 样 会 造成 大 量 的 网 络 通信 ,有 可 能 会 造成 通信 失败 
或 者 延迟 等 情况 ,造成 不 必要 的 纠纷 和 损失 ,如 1995 年 E. Brickell 提出 的 条 件 匿名 性 的 
电子 现金 系统 。 后 来 的 电子 现金 系统 就 尽量 减少 银行 在 系统 中 的 参与 程度 ,尽量 使 银行 
只 有 在 需要 撤销 匿名 性 的 环节 才 参 与 到 系统 中 来 ,其 他 环节 都 不 参与 。 如 J. Camenisch 
等 于 1996 年 提出 了 公平 离线 电子 现金 的 概念 (可 信 方 除 用 户 登记 和 跟踪 以 外 均 离线 )。 


4. 从 单 银行 电子 现金 系统 到 多 银行 电子 现金 系统 


为 了 使 电子 现金 系统 更 接近 于 现实 中 的 现金 模型 ,1998 年 ,A. Lysyanskaya 扩展 了 
Stadler 的 群 签名 方案 ,提出 了 群 讶 签名 方案 ( 群 盲 签 名 的 定义 类 似 于 群 签名 ,所 满足 的 安 
全 性 质 也 类 似 于 群 签名 ,只 是 同时 具有 盲 签名 的 性 质 ), 即 签名 者 不 能 识别 他 签 过 的 信 
息 , 并 指出 如 何 利 用 群 盲 签名 方案 构造 一 个 多 银行 参与 发 行 电子 现金 的 .匿名 的 电子 现 
金 系统 ,为 电子 现金 系统 的 研究 开辟 了 一 个 新 的 方向 。 


“84 电子 支票 


电子 支票 (electronic Check,eCheck) 是 客户 向 收 款 人 签发 的 无 条 件 的 数字 化 支付 指 
令 。 电 子 支票 是 网 络 银行 常用 的 一 种 电子 支付 工具 。 它 对 应 于 传统 纸 质 支票 ,是 一 个 包 
含 了 传统 支票 全 部 信息 的 电子 文档 ,是 纸 质 支 票 的 替代 者 。 在 电子 支票 支付 模型 中 , 电 
子 支票 利用 各 种 安全 技术 实现 在 账户 之 间 的 资金 转移 ,以 完成 传统 支票 的 所 有 功能 。 它 
仿真 纸 质 支票 ,用 基于 公 钥 的 数字 签名 替代 手写 签名 ,使 支票 的 支付 业务 和 支付 过 程 电 
子 化 ,从 而 最 大 程度 地 开发 现 有 银行 系统 的 潜力 。 

电子 支票 的 运作 类 似 于 传统 支票 ,客户 从 他 的 开户 行 收 到 电子 支票 ,并 为 每 一 个 付 
款 交 易 输 入 付款 数目 、 货 币 类 型 以 及 收 款 人 的 姓名 。 为 了 兑换 电子 支票 ,付款 人 和 收 款 
人 都 必须 对 支票 进行 签名 。 收 款 人 将 支票 拿 到 银行 进行 兑现 ,银行 验证 无 误 后 即 向 收 款 
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人 兑付 或 转账 ,然后 银行 又 将 支票 送 回 给 付款 人 。 由 于 电子 支票 在 形式 上 是 数字 化 信 
息 ,因此 处 理 极为 方便 ,处 理 的 成 本 也 比较 低 。 电 子 支票 通过 网 络 传 输 ,速度 极其 迅速 ， 
大 大 缩减 了 支票 的 在 途 时 间 ,使 客户 在 途 资金 损失 减 为 零 。 

电子 支票 采用 公 钥 基础 设施 (PKD) 保 证 安全 ,可 以 实现 支付 过 程 的 保密 性 真实 性 、 
完整 性 和 不 可 否认 性 ,从 而 在 很 大 程度 上 解决 了 传统 支票 支付 存在 的 伪造 问题 。 


841 电子 支票 的 支付 过 程 


电子 支票 支付 系统 在 计算 机 网 络 上 模拟 了 现实 生活 中 纸 质 支票 的 支付 过 程 。 它 主 
要 包括 4 个 实体 : 电子 支票 的 支付 方 ( 即 客 


户 ) .接收 方 ( 即 商家 ) .发 卡 银行 和 收 单 银行 。 。 下 1” 电子 赤 于 于 
电子 支票 的 支付 过 程 如 图 8. 8 所 示 , 它 包 注 | | 通 . 

括 了 生成 ,支付 和 清算 3 个 过 程 。 册 | | 知 过 
验证 双方 的 身份 

1. 生成 过 程 和 


签名 的 电子 支票 
支票 内 容 已 加 密 


8.8 电子 支票 支付 的 基本 流程 


客户 必须 在 提供 电子 支票 业务 的 银行 注 
册 , 开 具 电子 支票 。 注 册 时 需要 输入 信用 卡 或 
银行 账户 信息 。 银 行将 具有 银行 数字 签名 的 支票 发 送 给 客户 。 


2. 支付 过 程 


当 客户 决定 用 电子 支票 作为 支付 方式 时 ,支付 系统 首先 要 验证 交易 双方 的 身份 (如 
通过 CA) ,然后 可 以 通过 以 下 步骤 实现 支付 过 程 : 

(1) 客户 可 以 使 用 发 卡 银行 发 放 的 授权 证 明文 件 签发 电子 支票 ,然后 将 签名 的 支票 
发 送 给 商家 。 在 签发 支票 时 ,客户 利用 自己 的 私有 密 钥 在 电子 支票 上 进行 数字 签名 以 保 
证 电子 支票 内 容 的 真实 性 , 即 : 签名 #*P (支票 内 容 ), 这 和 签 写 普通 支票 是 很 相似 的 。 电 
子 支票 的 内 容 包 含 了 客户 名 ,金额 \ 日 期 \ 收 款 人 和 账号 等 信息 , 它 向 商家 提供 了 完整 的 
支付 信息 。 

(2) 为 了 提供 电子 支票 的 安全 性 ,客户 可 以 用 商家 的 公 钥 或 双方 共享 的 对 称 密 钥 对 
支票 内 容 或 部 分 内 容 进 行 加 密 , 然 后 通过 网 络 将 加 密 的 支票 传送 给 商家 ,以 保证 只 有 商 
家 才 是 该 支票 的 唯一 合法 接收 者 。 

(3) 商家 用 自己 的 私 钥 解密 电子 支票 ,然后 采用 客户 公 钥 验证 客户 对 电子 支票 的 
签名 。 

(4) 如 果 电 子 支票 是 有 效 的 , 则 商家 将 发 货 给 客户 或 向 客户 提供 相应 的 服务 。 因 此 
电子 支票 支付 系统 也 属于 事后 付费 支付 系统 。 同 时 ,商家 需要 对 支票 进行 电子 背书 ,其 
中 电子 背书 也 是 某 种 形式 的 电子 签名 。 


3. 清算 过 程 


商家 可 以 自行 决定 何 时 将 支票 发 送 给 接收 银行 以 进行 存款 和 结算 处 理 。 例 如 ,他 可 
以 选择 定期 将 背书 (endorse) 的 电子 支票 发 送 给 接收 银行 。 在 清算 过 程 中 ,发 卡 银行 和 收 
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单 银行 会 将 支付 资金 从 客户 的 账户 中 取出 并 转 入 到 商家 的 账户 中 。 此 外 ,为 了 防止 重 
用 ,银行 还 需要 对 所 有 处 理 过 的 电子 支票 加 以 标识 。 


842 电子 支票 的 安全 方案 和 特点 


当 商 家 通过 网 络 接收 到 客户 经 过 数字 签名 的 电子 支票 后 , 它 将 像 处 理 纸 质 支票 一 样 
对 电子 支票 进行 数字 签名 ,并 通知 银行 将 用 户 所 需 支 付 的 金额 从 用 户 的 账户 转 入 商家 的 
账户 中 。 基 于 公 钥 体制 的 数字 签名 是 当前 在 电子 支票 中 普遍 采用 的 技术 。 


1. 电子 支票 的 安全 方案 


1) 电子 支票 的 认证 

电子 支票 是 客户 用 其 私 钥 签署 的 一 个 文件 ,接收 者 (商家 或 商家 的 开户 行 ) 使 用 支付 
者 的 公 钥 来 解密 客户 的 签名 。 这 使 得 接收 者 相信 客户 的 确 签署 过 该 支票 。 此 外 ,电子 支 
票 还 可 能 要 求 客户 的 开户 行进 行 数字 签名 ,这 将 使 得 接收 者 相信 他 所 接收 的 支票 是 根据 
发 送 者 在 银行 的 有 效 账 目 填写 的 ,接收 者 使 用 开户 行 的 公 钥 可 以 对 发 送 者 的 签名 加 以 
验证 。 

2) 公 钥 的 发 送 

发 送 者 及 其 开户 行 必须 向 接收 者 提供 自己 的 公 钥 ,提供 方法 是 将 他 们 的 数字 证 书 附 
加 在 电子 支票 上 。 

3) 银行 本 票 

银行 本 票 由 银行 按 以 下 方式 发 行 : 发 行 银行 首先 产生 支票 ,用 其 私 钥 对 其 签名 ,并 将 
其 证 书 附 在 支票 上 。 接 收银 行使 用 发 行 银行 的 公 钥 来 解密 签名 ,通过 这 种 方式 使 接收 银 
行 相信 , 它 所 接收 到 的 支票 的 确 是 由 支票 上 所 描述 的 银行 发 出 的 。 


2. 电子 支票 的 优点 和 缺点 


电子 支票 除了 具有 纸 质 支票 转账 支付 的 优点 外 .还 可 以 加 快 交 易 处 理 速 度 , 减 少 交 
易 处 理 的 费用 。 特 别 是 在 安全 方面 ,电子 支票 的 即时 认证 在 一 定 程度 上 保障 了 交易 安全 
性 ,对 支票 的 挂失 处 理 也 比 纸 质 支票 方便 有 效 得 多 。 电 子 支票 的 优点 表现 在 以 下 几 点 : 

(1) 与 传统 支票 类 似 , 用 户 对 电子 支票 比较 熟悉 ,易于 接受 。 可 广泛 应 用 于 B2B 
结算 。 
(2) 电子 支票 具有 可 追踪 性 ,所 以 当 使 用 者 支票 遗失 或 被 冒 用 时 可 以 停止 付款 并 取 
消 交 易 ,风险 较 低 。 

(3) 通过 应 用 数字 证 书 ,数字 签名 及 各 种 加 密 / 解 密 技术 ,提供 比 传统 纸 质 支票 中 使 
用 印章 和 手写 签名 更 加 安全 可 靠 的 防 欺诈 手段 。 加 密 的 电子 支票 也 使 它们 比 电 子 现 金 
更 易于 流通 ,买卖 双方 的 银行 只 要 用 公开 密 钥 确认 电子 支票 即 可 ,数字 签名 也 可 以 被 自 

这 一 系列 特点 成 功 地 推动 了 电子 支票 的 发 展 ,使 其 成 为 最 具 发 展 潜力 的 电子 支付 手 
段 之 一 。 但 是 电子 支票 的 整个 交易 处 理 过 程 都 要 经 过 银行 系统 ,而 银行 系统 又 有 义务 证 
明 每 一 笔 经 它 处 理 的 业务 细节 .因此 电子 支票 的 一 个 最 大 的 问题 就 是 隐私 问题 。 电 子 支 
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票 的 缺点 如 下 : 
(1) 需要 申请 证 书 ,安装 证 书 和 专用 软件 ,使 用 较为 复杂 。 
(2) 不 适合 小 额 支付 及 微 支付 。 
(3) 电子 支票 通常 需要 使 用 专用 网 络 进行 传输 。 


843 NaBil 电 子 支票 


目前 电子 支票 协议 还 没有 国际 性 标准 ,但 基于 电子 支票 的 支付 系统 有 很 多 , 如 
NetCheque、NetBill 和 金融 服务 技术 联盟 (Financial Services Technology Consortium ， 
FSTC) 实 施 的 电子 支票 项 目 。 

NetBill 是 一 种 基于 公 钥 和 对 称 密 钥 的 价格 协商 信息 商品 订购 和 支付 的 完整 微 支付 
机 制 ,是 美国 卡 内 基 。 梅 隆 大 学 开发 的 。 系 统 参 与 者 包括 客户 、 商 家 以 及 为 他 们 保持 账 
户 数据 的 NetBill 服务 器 。 这 些 账户 可 以 与 金融 机 构 传 统 的 账户 相连 。 客 户 、 商 家 的 
NetBill 账户 可 以 与 他 们 在 银行 的 账户 相互 转账 。NetBill 设计 的 主要 目标 是 帮助 信息 产 
品 的 网 上 销售 。 

NetBill 通过 向 商家 和 客户 提供 配套 使 用 的 工具 软件 来 提供 对 整个 系统 的 支持 ,其 中 
包括 一 系列 安全 措施 ,客户 端 软件 称 为 支票 短 ,商家 端 软件 称 为 “ 收 款 机 ”, 分 别 负责 客户 
应 用 和 商户 应 用 通信 。 两 者 所 有 通信 均 经 过 加 密 处 理 , 以 防范 攻击 者 窃取 信息 ,其 流程 
如 图 8.9 所 示 。 


(D 用 支票 德 报价 | (2) 客户 请 求 


一 | 


(4) 签名 的 购买 请 求 (3) 商家 签名 后 的 报价 
客 | (7) 加 密 结果 钱 | (5) 向 商家 提请 求 商 
户 柜 家 
(8) 电子 购买 订单 (6) 将 请 求 用 密 钥 加 密 | “ 
(12) 传递 发 票 (11) 签名 后 的 发 票 
一 并 含有 解密 的 私 铀 
(13) 客户 对 商家 的 。” (9) 转账 G0) 转 性 确认 | 
加 密 结果 解密 


银行 


8.9 ”NetBill 网 上 支付 流程 


NetBill 电子 支票 的 网 上 支付 过 程 如 下 : 

(1) 客户 向 商家 请 求 查询 某 商品 的 价格 ,从 而 交易 开始 。 

(2) 商家 调用 一 种 算法 向 获得 确认 的 用 户 提供 经 过 数字 签名 的 产品 价格 。 

(3) 客户 向 商家 发 送 自己 所 能 接受 的 经 过 数字 签名 的 价格 。 

(4) 商家 向 客户 发 送 用 一 次 性 密 钥 (K) 加 密 的 电子 商品 信息 ,并 且 在 加 密 信 息 上 计 
算 散 列 值 。 

(5) 当 客 户 收 到 上 述 信 息 后 把 它 保 存 下 来 。 在 传输 成 功 后 ,客户 就 会 在 加 密 商 品 上 
计算 散 列 值 ,然后 返回 商家 一 个 电子 采购 订单 (EPO), 即 所 谓 的 三 元 式 ( 价 格 、 加 密 商 品 
的 密码 单据 、 超 时 值 ) 数字 签名 值 。 在 此 要 注意 一 点 ,就 是 此 时 客户 还 不 能 对 商品 进行 解 


Os 电子 支付 的 安全 


245 


密 , 且 他 账号 上 的 钱 也 不 会 转 入 到 商家 。 

(6) 在 收 到 电子 采购 订单 后 ,商家 将 与 客户 的 计算 校 验 和 进行 比较 , 若 不 一 致 ,商家 
就 不 会 发 送 发 货 单 ,此 时 交易 也 将 取消 。 该 步 为 商品 准确 无 误 的 传送 提供 了 安全 保证 ， 
若 一 致 ,商家 就 会 自动 生成 一 张 电 子 发 货 单 (包括 商品 价格 、 加 密 商品 的 密码 单据 、 商 品 
解密 密 钥 ) ,商家 将 EPO 和 发 货 单 二 者 传送 给 NetBill 服务 器 。 

(7) NetBill 服务 器 验证 EPO 签名 和 会 签 , 然 后 检查 客户 的 账号 ,保证 有 足够 的 资金 
以 便 批准 该 交易 ,同时 检查 EPO 上 的 超时 值 看 是 否 过 期 。 确 认 没 有 问题 时 ,NetBill 服务 
器 即 从 客户 的 账号 上 将 相当 于 商品 价格 的 资金 划 往 商家 的 账号 上 ,并 存储 密 钥 K 和 加 密 
商品 的 密码 单据 。 然 后 准备 一 份 包含 值 为 K 的 签 好 的 收据 ,将 该 收据 发 给 商家 。 

(8) 商家 记 下 该 收据 单传 给 客户 ,然后 客户 将 第 (4) 步 收 到 的 加 密 信 息 商品 解密 。 
NetBill 协议 就 这 样 传送 信息 商品 的 加 密 副本 ,并 在 NetBill 服务 器 的 契 据 中 记 下 解密 
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微 支付 (MicroPayment) 是 伴随 着 Internet 的 发 展 而 提出 的 。 在 Internet 应 用 中 ,经 
常 需要 发 生 一 些小 额 的 资金 支付 ,如 Web 站 点 为 用 户 提供 搜索 服务 .下 载 一 段 音乐 .下 
载 一 篇 文章 .下 载 试 用 版 软件 等 ,所 涉及 的 支付 费用 非常 小 ,如 查看 一 条 新 闻 收 费 一 分 
等 。 目 前 对 这 些 费 用 还 没有 较 好 的 解决 办 法 。 传 统 的 网 上 支付 方式 因为 支付 本 身 要 涉 
及 的 费用 和 延迟 而 无 法 使 用 。 目 前 这 些 网 站 只 能 采用 广告 ,发展 付费 会 员 等 方式 来 维持 
其 生存 ,迫切 希望 有 效 的 微 支 付 方 式 来 支持 这 些 网 站 的 发 展 。 微 支付 将 有 助 于 Internet 
更 好 地 发 展 。 

微 支付 的 特征 是 能 够 处 理 任意 小 数额 的 钱 ,适合 于 Internet 上 “不 可 触摸 的 ”(non- 
tangible) 商 品 ( 如 信息 商品 ) 的 销售 。 一 方面 , 微 支付 要 求 商品 的 发 送 和 支付 几乎 同时 发 
生 ; 男 一 方面 ,支付 的 安全 性 检查 往往 给 支付 的 实时 性 造成 了 障碍 。 因 此 , 微 支 付 的 设计 
目标 是 保证 支付 的 实时 性 和 可 以 接受 的 安全 性 。 目 前 很 多 厂商 正在 致力 于 发 展 新 的 微 
支付 协议 ,以 支持 SET 和 SSL 不 能 支持 的 微 支付 方式 ,其 中 之 一 是 微 支付 传输 协议 
(MicroPayment Transport Protocol, MPTP) ,该 协议 是 由 IETF 制订 的 工作 草案 。 

总 的 来 看 , 微 支 付 与 传统 电子 支付 相 比 具有 以 下 几 个 特点 : 

(1) 交易 额 小 ,交易 频率 高 。 

微 支付 的 首要 特征 是 能 够 处 理 任意 小 的 交易 额 。 一 般 交 易 中 所 购买 的 商品 价格 通 
常 在 几 分 到 几 元 之 间 , 不 像 传 统 支付 通常 一 次 交易 的 金额 比较 大 。 也 可 能 正 因为 交易 额 
小 ,其 交易 的 频率 要 比 传 统 的 电子 商务 要 高 。 

(2) 可 以 接受 的 安全 性 。 

微 支 付 本 身 的 交易 额 一 般 都 很 小 。 在 这 种 情况 下 即使 交易 过 程 中 有 关 的 支付 金额 
被 非法 窃取 ,对 交易 双方 的 损失 也 不 大 。 对 安全 性 的 需求 不 如 其 他 电子 支付 那么 严格 。 

(3) 交易 效率 高 。 

由 于 微 支付 交易 量 很 大 ,要 求 微 支付 系统 有 较 高 的 交易 效率 和 可 以 忽略 的 交易 延 
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迟 ,使 得 消费 者 的 交易 请 求 得 到 即时 满足 。 

(4) 交易 成 本 低 。 

由 于 小 额 交 易 的 利润 很 小 ,如 果 还 要 减 去 较 高 的 交易 成 本 ,那么 商家 会 无 法 亡 利 , 因 
此 微 支付 的 交易 成 本 要 求 非常 低 。 

(5) 操作 简便 ,实现 “ 单 击 就 可 支付 ”, 不 需要 额外 窗口 。 


851 微 支付 的 交易 模型 


典型 的 微 支付 模型 涉及 3 类 参与 者 : 客户 (customer)、 商 家 (vender) 和 经 纪 人 
(broker) ,如 图 8. 10 所 示 。 


购买 货币 和 货币 兑换 
获取 证 书 和 清算 


在 线 浏览 、 
| 客户 的 和 支 他 Ls: 


8.10 典型 的 微 支付 模型 


客户 通过 微 支付 的 方式 购买 商家 的 商品 或 服务 , 它 是 微 支付 的 发 起 者 ;商家 向 客户 
提供 商品 并 接受 电子 支付 。 男 外 ,要 在 客户 与 商家 之 间 进 行 电 子 支付 ,就 必须 有 一 个 可 
信 实 体 一 一 经 纪 人 负责 发 行 电子 货币 ,同时 它 还 必须 负责 双方 身份 认证 以 及 交易 后 的 转 
账 支付 ,并 可 以 解决 该 交易 中 引发 的 纠纷 。 经 纪 人 可 以 是 一 些 中 介 机 构 , 也 可 以 是 银 
行 等 。 

在 进行 交易 和 支付 之 前 ,客户 为 了 获得 电子 货币 ,首先 要 通过 某 种 手段 在 经 纪 人 处 
建立 账号 。 然 后 ,可 以 通过 宏 支 付 (如 信用 卡 支付 ) 方 式 在 经 纪 人 处 一 次 性 购买 一 定数 额 
的 电子 货币 ,也 可 以 根据 经 纪 人 的 授权 ,通过 数字 证 书 自 己 生产 电子 货币 。 交 易 过 程 中 ， 
客户 通过 在 线 方式 同 商家 进行 联系 ,浏览 选择 商品 并 进行 支付 。 商 家 一 般 可 以 在 本 地 验 
证 电子 货币 的 真 伪 ,但 一 般 不 能 判断 客户 是 否 进行 了 重复 消费 (除非 对 特定 商家 的 货 
币 )。 每 隔 一 段 时 间 ,如 一 天 或 者 一 周 , 商 家 会 把 客户 支付 的 电子 货币 提交 给 经 纪 人 进行 
兑现 。 此 时 ,经 纪 人 可 以 对 电子 货币 的 真 伪 进 行 验证 ,以 防止 商家 的 欺骗 和 客户 的 重复 
消费 。 

典型 的 微 支付 系统 有 基于 票据 的 微 支付 系统 、 基 于 散 列 链 的 微 支付 系统 和 基于 概率 
的 微 支付 系统 (如 微 电 子 彩 票 ) ,这些 系 统 在 安全 性 、 效 率 以 及 多 方 交易 等 方面 各 有 特色 。 


852 基于 票据 的 微 支付 系统 


票据 (scrip) 是 微 支付 系统 中 常见 的 支付 工具 之 一 。 它 是 一 种 面值 很 小 的 电子 货币 ， 
一 般 由 商家 或 经 纪 人 产生 ,也 可 以 由 经 纪 人 独立 产生 。 在 不 需要 第 三 方 参与 的 情况 下 ， 
可 以 由 商家 在 线 验 证 货币 的 真 伪 。 常 见 的 票据 形式 的 微 支付 有 Millicent、Subscrip 和 
MicroMint 。 
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1. Millicent 概述 


Millicent 是 在 1995 年 由 Compaq 与 Digital 联合 开发 的 微 支付 系统 , 它 是 一 个 效率 
相当 高 的 微 支 付 系统 ,完全 没有 采用 公 钥 密码 算法 ,只 是 采用 单 向 散 列 函数 进行 快速 计 
算 , 而 且 利 用 “离线 ”方式 进行 验证 ,整个 系统 的 运算 成 本 和 通信 成 本 都 比较 低 , 非 常 适合 
处 理 网 络 上 的 小 额 付款 。 

Millicent 使 用 的 电子 货币 一 一 票据 (scrip) 是 由 商家 利用 单 向 散 列 函数 制造 的 ,不 同 
的 商家 有 不 同 的 票据 ,而 这 些 票 据 的 真 伪 只 有 这 些 商 家 能 够 利用 离线 的 方式 进行 验证 ， 
这 种 票据 称 为 商家 票据 (vendor scrip)。 消 费 者 如 果 要 与 某 商家 进行 交易 , 则 必须 使 用 该 
商家 的 商家 票据 才能 付款 。 一 个 商家 票据 代表 了 商家 给 消费 者 建立 的 一 个 账号 ,在 任何 
给 定 的 有 效 期 内 ,消费 者 都 可 以 利用 该 商家 票据 购买 该 商家 的 服务 。 

账号 的 平衡 由 商家 票据 的 值 来 指定 。 当 消费 者 利用 商家 票据 在 网 上 购买 了 商家 的 
服务 或 商品 以 后 ,购买 值 将 自动 从 商家 票据 中 扣除 ,并 返回 一 个 具有 新 的 面值 的 商家 票 
据 ( 即 找 零 )。 当 消费 者 完成 了 一 系列 交易 或 支付 以 后 ,他 还 可 以 把 商家 票据 中 剩余 的 值 
兑换 成 现金 (同时 账号 关闭 ) 。 

Millicent 微 支付 机 制 主要 包含 3 个 交易 实体 : 经 纪 人 (broke) .商家 (vendor) 和 消费 
者 (customer)。 下 面 详细 阐述 三 者 之 间 的 关系 。 

经 纪 人 买卖 商家 票据 来 服务 消费 者 与 商家 。 经 纪 人 也 拥有 票据 , 它 是 作为 消费 者 购 
买 商家 票据 或 商家 兑现 消费 者 未 消费 完 的 商家 票据 的 公共 货币 而 存在 的 。 经 纪 人 票据 
(broker scrip) 对 消费 者 来 说 是 一 种 购买 商家 票据 的 通用 货币 ,而 对 于 商家 来 说 则 是 返回 
未 动用 的 票据 。 

在 中 间 服 务 器 模式 中 ,经 纪 人 角色 往往 是 个 通信 瓶颈 。 但 在 Millicent 中 ,可 以 有 多 
个 经 纪 人 机 构 ,在 消费 者 和 商家 的 交易 中 ,只 是 在 部 分 交易 中 会 牵涉 到 经 纪 人 ,在 交易 过 
程 中 牵涉 到 经 纪 人 的 交易 量 是 很 小 的 。 以 经 纪 人 的 方式 来 处 理 账 单 和 支票 ,降低 了 账单 
费用 。C-M 账户 变 成 了 C-B 账户 和 M-B 账户 ,减少 了 账户 数量 。 

在 Millicent 中 ,票据 产生 的 方式 有 两 种 ,一 种 是 由 商家 自己 制造 产生 ,然后 交 由 经 纪 
人 委托 出 售 ; 另 一 种 是 商家 和 经 纪 人 签订 相关 协定 ,授权 给 经 纪 人 制造 和 出 售票 据 。 

对 于 第 一 种 方式 来 说 ,经 纪 人 只 负责 收购 各 商家 制造 的 商家 票据 ,消费 者 需要 哪个 
商家 的 票据 ,经 纪 人 就 出 售 该 商家 的 票据 。 

第 二 种 方式 商家 授权 经 纪 人 制造 和 出 售票 据 , 则 商家 必须 将 产生 票据 要 用 到 的 参数 
(Master_Customer_Secret, Master_ Scrip Secret 和 票据 的 识别 号 码 等 ) 传 送 给 经 纪 人 。 
当 消 费 者 购买 商家 票据 时 ,经 纪 人 只 需 按 照 消费 者 的 需要 制造 票据 就 可 以 了 。 这 种 方式 
可 以 节省 经 纪 人 和 商家 之 间 的 通信 成 本 和 经 纪 人 的 存储 空间 等 。 


2. Millicent 票据 的 组 成 


一 个 Millicent 票据 由 下 列 域 组 成 ,如 图 8. 11 所 示 , 其 中 ,灰色 部 分 表示 票据 中 的 
元 素 。 
(1) Vendor: 商家 的 名 称 。 
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master_scrip_secret 4 


| master_scrip_secret 5 
master_scrip_secret 6 


value| 1p#| caseDy| Expires | props 


Certificate 


Vendor master_scrip_secret 5 


8.11 票据 的 数据 结构 


(2) Value: 票据 的 金额 。 

(3) ID# : 票据 的 序列 号 ,为 了 防止 重复 消费 ,其 序列 号 是 唯一 的 。 

(4) Cust-ID# : 客户 代码 。 

(5) Expires: 票据 的 有 效 期 。 

(6) Props: 对 客户 信息 (如 住址 ) 的 记录 。 

(7) Certificate: 票据 的 鉴别 码 。 

Millicent 采用 一 个 密 钥 控制 的 单 向 散 列 函数 加 密 ( 即 MAC) ,从 票据 中 选取 一 些 域 ， 
如 ID# 、Cust-ID# 做 散 列 运 算 , 从 而 产生 Certificate, 以 鉴别 票据 的 真 伪 。 当 银行 发 行 票 
据 时 ,会 将 做 散 列 运算 的 密码 传送 给 商家 ,这 样 商家 自己 就 可 以 对 其 进行 鉴别 。 由 于 采 
用 散 列 函数 加 密 的 方法 ,其 运算 速度 要 比 公 钥 加 密 法 快 很 多 ,但 安全 性 会 有 所 降低 。 

Millicent 票据 的 产生 和 使 用 涉及 3 种 密 钥 : 消费 者 密 钥 customer_secret( 证 明 其 对 
票据 的 拥有 权 ); 主 消费 者 密 钥 master_customer_secret( 商 家 从 票据 中 提取 信息 产生 消 
费 者 密 钥 ); 主 票据 密 钥 master_scrip_secret( 该 密 钥 只 能 被 票据 发 行 单位 拥有 ,用 于 验证 
票据 的 合法 性 ) 。 

由 于 Millicent 并 没有 使 用 公 钥 加 密 手 段 ,为 了 保障 密 钥 传输 的 机 密 性 ,需要 一 张 映 
射 机 制 将 票据 上 面 的 公开 信息 映射 到 需要 保密 的 密 钥 中 ,然后 利用 取出 的 密 钥 来 验证 签 
名 。3 个 密 钥 和 票据 之 间 存 在 着 两 个 重要 的 映射 关系 。 

一 个 是 ID# 一 master_scrip_secret。 这 样 , 票 据 发 行者 就 可 以 通过 票据 上 面 的 公有 
信息 (ID# ) 得 到 其 他 人 所 不 知道 的 信息 master_scrip_secret。 然 后 校 验 票据 的 真 伪 。 图 
8.11 实际 上 说 明了 签名 (Certificate) 是 如 何 产生 的 ,从 它 的 产生 机 制 不 难 推出 它 的 验证 
机 制 。 

另 一 个 是 Cust_ID# 一 master_customer_secret。 从 而 得 到 customer_secret, 校 验 消 
费 者 对 票据 拥有 的 合理 性 。 由 于 消费 者 密 钥 是 由 票据 上 的 公开 的 Cust_ID# 和 隐秘 的 
master_customer_secret 生成 的 ,如 果 票 据 发 行 单位 能 够 获得 master_customer_secret， 
就 能 够 验证 消费 者 利用 customer_secret 进行 的 签名 。 

同时 ,为 了 防止 一 张 票据 的 多 次 使 用 ,在 每 次 交易 完成 以 后 ,商家 将 会 发 布 新 的 票 
据 。 新 的 票据 中 的 Cust_ID# 保持 不 变 , 从 而 使 消费 者 密 钥 (customer_secret) 能 够 继续 
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有 效 。 但 是 ,ID# 和 Certificate 会 改变 ,同时 ,本 地 数据 库 中 标记 票据 编码 为 ID# 的 票据 
无 效 。 这 样 ,即使 某 个 消费 者 试图 利用 原 有 的 票据 进行 消费 ,也 会 被 校 验 出 来 。 

在 这 种 协议 中 ,请求 和 响应 都 进行 了 加 密 处 理 , 从 而 保证 了 私有 性 。 除 非 攻 击 者 知 
道 消费 者 密 钥 ,否则 它 不 能 解密 消息 。 另 外 ,即使 攻击 者 获取 了 密 钥 ,因为 不 知道 消费 者 
密 钥 , 它 也 不 能 利用 它 进行 消费 。 


3. Millicent 交易 流程 


Millicent 最 主要 的 特点 就 是 使 用 了 票据 作为 交易 时 的 凭证 。 它 的 主要 特性 有 以 下 
几 点 : 每 一 张 票据 都 描述 了 它 的 价值 和 商家 的 标志 。@ 每 一 张 票 据 都 有 了 唯一 的 号 码 
以 阻止 重复 消费 。 图 每 一 张 票据 都 附 有 数字 签名 以 阻止 算 改 和 伪造 。 四 消费 者 用 消费 
者 密 钥 签署 每 一 张 票据 ,然后 再 消费 。 

签名 (实际 上 是 求 散 列 值 ) 采 用 高 效 的 散 列 函 数 MD5 或 者 SHA 。 

在 票据 产生 、 验 证 和 消费 的 过 程 中 伴 有 3 个 密 钥 ,消费 者 获得 其 中 一 个 密 钥 
customer_secret, 以 证 明 该 票据 的 所 有 权 。 商 家 使 用 master_customer_secret 从 票据 中 
含有 的 消费 者 信息 中 推导 出 customer_secret。master_scrip_secret 密 钥 则 是 验证 票据 真 
伪 的 凭证 。 

1) 购买 商家 票据 

消费 者 必须 用 商家 票据 才能 在 特定 的 商家 进行 消费 。Millicent 借助 某 些 宏 支 付 系 
统 ( 比 如 SET) 来 进行 消费 者 向 经 纪 人 购买 票据 的 交易 过 程 。 消 费 者 在 经 纪 人 处 购买 到 
经 纪 人 票据 是 由 经 纪 人 制造 的 ,如 果 消 费 者 想 在 某 家 网 上 商店 购买 商品 , 则 必须 利用 购 
买 到 的 经 纪 人 票据 去 购买 该 家 商店 的 商家 票据 ,然后 再 利用 商家 票据 和 商家 进行 交易 。 
客户 购买 商家 票据 的 流程 如 下 : 

(1) 消费 者 向 经 纪 人 购买 经 纪 人 票据 ,经 纪 人 返回 初始 纪 人 票据 和 相关 密 钥 。 

(2) 当 消 费 者 需要 在 某 商 家 进行 消费 时 ,用 纪 人 票据 向 经 纪 人 换购 特定 的 商家 票据 。 

(3) 如 果 经 纪 人 已 经 没有 消费 者 要 求 的 商家 票据 ,那么 经 纪 人 需要 向 商家 要 求 商家 
票据 ,商家 返回 商家 票据 和 相关 密 钥 。 

(4) 经 纪 人 向 消费 者 返回 他 求购 的 商家 票据 和 相关 密 钥 Customer-secret, 并 且 返 回 
购买 商家 票据 剩余 的 经 纪 人 票据 ( 即 对 经 纪 人 票据 找 零 ) 。 

2) 用 商家 票据 支付 。 

当 消 费 者 有 了 商家 票据 和 相关 密 钥 后 ,就 可 以 和 商家 进行 交易 了。 步骤 如 下 : 

(1) 消费 者 选择 想 要 购买 的 商品 ,向 商家 发 出 购物 信息 (Request) ,可 能 包括 商品 名 
称 、 商 品 价格 等 相关 信息 。 

(2) 消费 者 将 Customer_Secret、Request 和 商家 票据 等 信息 做 单 向 散 列 函数 的 运 
算 ,得 到 的 散 列 值 称 作 Request Signature。 

(3) 消费 者 将 Request、Request Signature、 商 家 票据 和 Certificate( 消 费 者 在 购买 票 
据 时 经 纪 人 附带 的 票据 凭证 )4 个 信息 发 送 给 商家 ,要 求 进行 交易 。 

3) 验证 商家 票据 

商家 收 到 消费 者 传送 来 的 信息 之 后 .必须 对 这 些 信息 验证 正确 与 否 ,步骤 如 下 : 
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(1) 利用 商家 票据 中 的 ID# 字段, 以 查 表 的 方式 找 出 所 对 应 的 master_scrip_secret。 

(2) 将 商家 票据 和 刚刚 查 表 得 知 的 master_scrip_secret 一 起 做 散 列 函数 的 运算 ,可 
以 得 到 该 商家 票据 的 Certificate。 然 后 将 此 结果 与 从 消费 者 那里 收 到 的 Certificate 相 比 
较 ,如 果 结 果 相 同 ,表示 消费 者 发 送 的 商家 票据 和 Certificate 是 正确 的 , 则 可 进行 下 一 步 
的 验证 ;如 果 结 果 不 相 同 , 则 可 能 商家 票据 有 问题 , 则 不 与 消费 者 进行 交易 ,同时 进行 必 
要 的 处 理 。 

(3) 利用 商家 票据 中 的 Cust-ID# 字段 找 出 对 应 的 master_customer_secret ,然后 将 
此 信息 和 Cust-ID# 进行 散 列 函 数 运算 ,得 到 结果 customer_secret。 

(4) 将 计算 得 到 的 Customer_Secret 和 商家 票据 及 Request 3 个 信息 再 经 过 散 列 函 
数 运 算 , 可 以 得 到 Request Signature。 然 后 将 此 Request Signature 和 从 消费 者 那里 发 送 
过 来 的 Request Signature 进行 比较 ,如 果 相 等 , 则 表示 消费 者 送 来 的 信息 都 是 正确 的 , 允 
许 与 此 消费 者 进行 交易 ,否则 放弃 交易 。 

最 后 ,商家 将 消费 者 所 购买 的 商品 “Reply”、 购 买 商品 后 所 剩余 的 票据 和 Certificate 
等 信息 回 传 给 消费 者 ,整个 交易 过 程 就 完成 了 。 

在 Millcent 中 ,商家 并 不 需要 做 交易 后 的 清算 ,因为 商家 出 售 商家 票据 给 经 纪 人 时 ， 
经 纪 人 就 已 经 支付 了 款项 。 


4. Millicent 的 安全 性 分 析 


Millicent 在 安全 性 方面 具有 以 下 几 个 优点 : 

(1) 防止 票据 的 伪造 。MAC 中 使 用 的 密 钥 master-scrip-secret 只 有 票据 发 行者 和 
要 验证 并 最 终 接收 此 票据 的 商家 才 知 道 ,客户 不 知道 ,因此 可 防止 票据 的 伪造 。 

(2) 防止 票据 重用 。 票 据 中 包含 了 唯一 的 序列 号 ID# ,对 于 特定 商家 ,可 杜绝 同一 
票据 的 重用 。 

(3) 商家 独立 完成 验证 。 采 用 分 散 式 验证 ,不 需要 在 线 或 离线 的 经 纪 人 去 验证 票据 
的 合法 性 ,这 些 都 由 商家 独立 完成 。 

但 Millicent 也 存在 以 下 一 些 不 足 : 

(1) 由 于 票据 是 针对 特定 商家 的 , 且 最 终 由 商家 产生 和 验证 (也 可 由 经 纪 人 代为 产 
生 ), 所 以 客户 不 能 验证 票据 的 真 伪 。 

(2) 因为 针对 每 个 新 的 商家 ,客户 都 要 请 求 一 个 新 的 票据 ,Millicent 对 经 常 需要 更 换 
商家 的 客户 效率 不 高 。 


853 MecroMrt 微 支付 系统 


MicroMint 是 基于 唯一 标识 的 离线 电子 现金 , 它 涉及 交易 的 三 方 : 客户 、 商 家 和 经 纪 
人 。MicroMint 的 每 个 货币 都 是 独立 存在 的 ,因此 是 同 现实 生活 中 的 货币 最 为 接近 的 微 
支付 体制 。 

MicroMint 是 由 经 纪 人 制造 “硬币 ”, 然 后 卖 给 消费 者 进行 消费 。MicroMint 的 硬币 
是 由 散 列 函数 的 碰撞 所 生产 出 来 的 。 
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1. 散 列 函数 的 碰撞 


我 们 知道 , 单 向 散 列 函数 可 以 将 任意 长 度 的 输入 转换 成 固定 长 度 的 输出 ,而 且 一 般 
输出 信息 的 长 度 比 输入 信息 的 长 度 要 短 得 多 ,因此 散 列 函数 的 输入 与 输出 是 多 对 一 的 
关系 ,只 要 输入 的 信息 足够 多 ,就 会 产生 两 个 不 同 的 输入 值 (如 z 和 zx) 都 被 映射 到 
同一 个 值 y 的 情况 , 即 ACzi) 一 ACz) 一 y, 则 称 出 现 了 单 向 散 列 函数 户 的 一 个 2 向 碰撞 
(“2-way” collision)。 

更 一 般 的 情况 下 , 当 & 个 不 同 的 输入 值 x ,zs，… ,x 都 被 映射 到 同一 个 值 y 时， 
即 有 (zn) 二 h(xrs) 二 … 二 hh(z) 二 y 时 , 则 称 出 现 了 单 向 散 列 函 数 有 的 一 个 k 向 碰撞 
(“pk-way” collision)。 

我 们 已 经 知道 ,要 找到 两 个 不 同 的 输入 值 (如 zx 和 x,), 使 它们 有 相同 的 散 列 函 数 
值 , 即 有 (zi) 二 h(xs), 是 非常 困难 的 (也 是 在 一 般 的 散 列 函 数 应 用 中 不 希望 看 到 的 情况 )。 
那么 ,要 找到 一 个 单 向 散 列 函 数 的 *k 向 碰撞 ”显然 更 加 困难 了 。 根 据 理 论 分 析 , 要 产生 第 
一 次 上 向 碰撞 大 约 需 要 2%-?4( 其 中 为 散 列 码 的 长 度 ) 个 输入 值 经 过 散 列 函 数 运算 才 
可 以 得 到 。 但 是 如 果 检 验 输入 值 的 数目 是 得 到 第 一 次 & 向 碰撞 的 输入 值 的 C 倍 ( 也 就 是 
如 果 第 一 出 现 k 向 碰撞 需要 检验 W 个 输入 值 才 出 现 , 现 在 校 验 CW 个 值 ) ,那么 应 该 可 以 
得 到 大 约 C* 个 k 向 碰撞 。 因 此 如 果 将 & 值 提高 ,会 产生 两 方面 影响 : 要 得 到 第 一 次 
向 碰撞 ,必须 校 验 更 多 的 输入 值 ,难度 更 大 ; @@ 如 果 已 经 得 到 第 一 次 向 碰撞 ,那么 之 后 
得 到 碰撞 的 速度 将 会 加 快 ,也 就 是 之 后 得 到 碰撞 的 可 能 性 会 成 倍 提高 , 越 来 越 容易 。 

MicroMint 就 是 利用 上 述 原理 制造 出 & 个 值 的 碰撞 当 作 付款 的 硬币 。 由 上 述 的 分 析 
可 知 ,这 种 硬币 的 制造 是 非常 困难 的 (必须 要 突破 得 到 第 一 次 碰撞 的 高 门槛 ) ,也 就 是 说 
要 伪造 这 种 硬币 是 非常 难 的 ,但 要 验证 硬币 的 正确 性 却 非常 简单 ,只 要 检验 下 列 的 式 子 : 

h(xr1) h(xrs) “ss hx) y 
就 可 以 知道 硬币 的 真实 性 了 。 

在 MicroMint 中 ,一 个 硬币 由 & 向 散 列 函数 碰撞 来 代表 , 一般 取 4。 所 以 ,一 个 
MicroMint 货币 由 一 个 4 向 散 列 函数 碰撞 来 代表 , 即 由 4 个 具有 相同 散 列 值 y 的 输入 值 
ZX1、Xz 、X3 ,4 组 成 : 


C= {rr rr } 


它 代 表 一 定数 量 的 小 额 金钱 ,如 一 角 等 。 
2. 硬币 的 制造 和 贩卖 


在 MicroMint 中 .有 3 种 硬币 , 即 通用 硬币 、 特 定 用 户 硬币 (user-specific coins) 和 特 
定 商家 硬币 (vendor-specific coins) 。 

制造 硬币 的 概念 可 以 想象 成 把 球 ( 输 入 xz) 随机 投入 2" 个 箱子 中 的 其 中 一 个 (2 表示 
输出 散 列 码 的 长 度 ) ,有 球 投 进 的 箱子 称 作 y( 输 出 ), 即 h(x) 二 y, 那 么 “硬币 ”就 表示 及 
个 球 碰巧 都 投 进 了 同一 个 箱子 。 由 于 球 是 随机 投 出 的 ,而 且 箱子 的 数量 极其 多 ,因此 要 
将 个 球 都 投 进 同 一 个 箱子 ,需要 投 非常 大 量 的 球 才 有 可 能 办 到 。 同 理 ,要 制造 硬币 的 
经 纪 人 必须 要 有 大 约 2" 个 箱子 , 投 大 约 &X2" 个 球 , 然 后 从 至 少 有 个 球 的 箱子 里 拿 出 


252 


.1: 全 应 几 


个 球 来 , 当 作 一 枚 “硬币 ”, 记 为 C 一 (zyzz,…,ze)。 如 果 同 一 个 箱子 里 面 有 超过 & 个 球 ， 
经 纪 人 也 只 能 制造 出 一 枚 硬币 。 

但 是 当 经 纪 人 利用 电脑 执行 一 个 月 ,制造 出 硬币 后 ,如 何 存储 是 一 个 问题 。 由 于 制 
造 出 来 的 硬币 数目 相当 庞大 ,而 且 可 能 很 大 部 分 用 不 到 ,因此 没有 必要 存储 那么 多 的 硬 
币 。 为 了 便于 验证 和 防伪 ,将 & 向 碰撞 所 得 到 的 散 列 函数 值 >( 长 度 为 2) 分 成 两 部 分 (高 
位 部 分 上 和 低位 部 分 x) , 即 y==t |‖ uln==t 十 wu)。 将 y 的 高 位 部 分 t 作为 月 份 标 识 , 如 果 
t 等 于 某 个 值 Z( 该 值 由 经 纪 人 指定 ) ,就 认为 这 个 硬币 在 该 月 份 是 有 效 的 ,将 此 硬币 存储 
下 来 。 所 以 通过 适当 地 选择 上 ,可 以 减少 存储 的 空间 ,又 不 降低 系统 的 安全 性 。 如 果 是 指 
定 使 用 者 身份 的 硬币 , 则 再 将 低位 部 分 x 分 成 两 部 分 ,上 一 部 分 (wcv) 为 y ,用 来 对 应 用 
户 的 身份 ,下 一 部 分 v 为 y” ,作为 唯一 的 货币 ID。 

最 后 经 纪 人 将 上 述 1 值 公布 ,让 其 他 人 可 以 对 硬币 的 真 伪 进行 验证 ,而 且 将 卖 给 消费 
者 的 硬币 值 存储 下 来 ,以 便 商 家 拿 硬 币 向 他 赎 回 时 ,可 以 进行 比 对 。 到 了 月 底 经 纪 人 则 
允许 消费 者 将 未 使 用 完 的 硬币 退回 或 兑换 成 下 月 可 用 的 硬币 。 


3. 硬币 的 购买 和 赎 回 


当 客 户 向 经 纪 人 购买 硬币 后 ,就 可 以 使 用 这 些 硬币 去 商家 那里 消费 。 商 家 对 硬币 值 
进行 散 列 函 数 运算 后 ,就 可 以 对 硬币 作 验 证 。 如 取 4 时 ,商家 验证 每 个 zx;(i 取 1,2,3， 
4) 是 否 各 不 相同 ,以 及 hx)、h(zrs)、h(zs)、h(zs) 是 否 都 相等 。 同 时 将 高 位 部 分 位 元 1 
计算 出 来 和 中 介 商 公布 的 t 值 相 比较 , 若 都 是 正确 的 , 那 就 表示 货币 是 真实 的 。 但 不 能 发 
现 重复 花费 ,因此 ,商家 必须 保持 每 一 个 已 花费 过 的 硬币 的 副本 ,或 者 将 货币 ID 即 y 记 
录 下 来 ,以 便 进行 核查 。 

商家 在 每 天 固定 的 时 间 将 收 到 的 客户 付款 的 硬币 传送 给 经 纪 人 进行 兑现 。 经 纪 人 
收 到 后 ,检查 记录 看 这 些 硬 币 是 否 已 被 赎 回 。 若 没有 ,即将 款项 付 给 商家 ; 若 硬币 之 前 已 
经 被 赎 回 过 , 则 将 不 让 商家 赎 回 ,损失 由 商家 承担 。 


4. 对 MicroMint 协议 的 分 析 


从 效率 上 看 ,MicroMint 采用 散 列 函 数 的 碰撞 得 到 硬币 ,因此 整个 系统 完全 没有 使 用 
公 钥 加 密 算法 和 对 称 加 密 算法 。 与 Payword 不 同 .MicroMint 货币 并 不 是 针对 某 一 商家 
的 ,所 以 可 允许 客户 高 效 地 和 多 个 商家 进行 交易 。 客 户 在 经 纪 人 处 购买 回 硬 币 后 ,自己 
就 可 以 离线 验证 硬币 的 真 伪 。 而 客户 利用 硬币 和 商家 进行 交易 的 过 程 也 属于 离线 的 方 
式 (不 需要 和 经 纪 人 打交道 ), 商 家 也 可 以 自行 验证 硬币 的 真 伪 ,经 纪 人 不 会 也 不 必 介 入 
整个 交易 过 程 ,可 以 大 幅 提 高 交易 的 效率 。 

从 安全 性 上 看 ,MicroMint 硬币 采用 了 4 向 散 列 函数 冲突 ,而 且 还 要 求 前 面 上 个 值 正 
好 等 于 月 份 标识 ,一 般 人 想 伪 造 硬币 是 很 难 的 。 但 如 果 是 专业 人 士 或 经 纪 人 处 制造 硬币 
的 内 部 人 员 , 他 们 想 伪 造 “ 硬 币 ”, 并 拥有 比 经 纪 人 更 快 的 电脑 来 进行 运算 ,那么 
MicroMint 似乎 没有 很 好 的 办 法 来 抵抗 这 类 攻击 。 

在 防 重用 性 方面 ,由 于 每 个 商家 会 将 已 花费 过 的 硬币 序列 号 记录 下 来 ,因此 客户 是 
不 可 能 将 硬币 在 单个 商家 处 重用 的 。 但 如 果 客 户 将 硬币 拿 到 几 个 商家 处 重用 , 则 对 于 
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MicroMint 中 的 3 种 货币 来 说 ,通用 货币 是 无 法 防止 客户 重用 的 ,因为 它 不 包含 对 客户 的 
认证 ,所 以 很 容易 被 盗用 或 重用 。 而 特定 用 户 货 币 因 为 包含 了 特定 用 户 的 信息 ,如 果 用 
户 在 多 个 商家 处 重用 货币 ,那么 事后 可 以 查 出 来 。 特 定 商家 货币 因为 只 能 在 特定 的 商家 
处 花费 ,因此 客户 不 可 能 拿 硬 币 到 别 的 商家 处 消费 。 


854 基于 散 列 链 的 微 支付 模型 


为 了 保证 支付 的 有 效 性 和 不 可 否认 性 ,有 些 电子 支付 系统 采用 了 公 钥 签名 技术 。 但 
过 多 地 采用 公 钥 技术 会 严重 影响 微 支付 系统 的 效率 ,所 以 很 多 微 支付 系统 采用 效率 更 高 
的 散 列 函 数 来 代替 签名 ,或 者 是 两 者 的 结合 , 散 列 链 就 是 这 样 一 种 方式 , 它 的 思想 最 初 由 
美国 密码 学 家 Lamport 提出 ,用 于 一 次 性 口令 机 制 , 后 来 被 应 用 到 微 支付 机 制 中 。 


1. 散 列 链 的 原理 


散 列 链 的 具体 方法 是 由 用 户 选择 一 个 随机 数 ,然后 对 其 进行 多 次 散 列 运算 ,把 每 次 
散 列 运算 的 结果 组 成 一 个 序列 ,序列 中 的 每 一 个 值 代表 一 个 支付 单元 ,因此 散 列 链 一 般 
由 客户 产生 。 客 户 一 般 通过 如 下 程序 来 产生 一 个 新 的 散 列 链 , 如 图 8. 12 所 示 。 


有 
UA AM AP) 


0 1 Nt 


图 8.12 散 列 链 的 生成 过 程 


MW) 


W, 


(1) 客户 决定 散 列 链 的 长 度 N。 如 果 散 列 链 上 每 个 值 所 代表 的 金额 为 1 分, 则 一 个 
长 度 为 20 的 散 列 链 将 代表 20 分 。 散 列 链 代 表 的 金额 要 比 它 在 商家 处 购买 的 商品 或 服 
务 价值 高 一 些 ,未 花费 的 散 列 值 将 会 被 安全 地 丢弃 。 

(2) 客户 选择 一 个 随机 数 Ws 作为 散 列 链 的 锚 , 散 列 链 上 的 其 他 值 都 可 以 由 锚 来 

(3) 对 Ww 进行 N 次 散 列 计算 (如 使 用 SHA-1 散 列 算法 ) ,每 个 散 列 值 形成 一 个 支 
付 单 元 。 

(4) 最 后 生成 的 散 列 链 就 是 {Wo Wi ,Ws.… ,Ww}。 


2. 基于 散 列 链 的 微 支付 的 支付 过 程 


1) 客户 获得 付款 凭证 

当 客 户 初 次 在 经 纪 人 处 注册 时 ,由 经 纪 人 颁发 一 个 付款 凭证 给 客户 ,其 格式 为 
PayCertu 二 Signsk, (B,IDu ,PKu ,Expire, Add)。 其 中 B 为 经 纪 人 标识 ,SKs 为 经 纪 人 的 
私 钥 ,IDu 为 客户 标识 ,PKu 为 客户 的 公 钥 ,Expire 为 证 书 的 有 效 期 ,Add 为 附加 信息 ,如 
用 户 的 地 址 等 。 付 款 凭证 利用 经 纪 人 的 私 钥 进行 签名 ,任何 人 都 可 以 使 用 经 纪 人 的 公 钥 
来 验证 该 凭证 的 正确 性 。 

2) 客户 发 送 支付 承诺 给 商家 

支付 前 ,客户 把 散 列 链 的 最 后 结果 ( 根 ) 签 名 后 发 送 给 商家 ,该 签名 结果 称 为 支付 承 
诺 , 支 付 承 诺 格式 如 下 : 
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全 ssasean 


PayCommitment 一 Signsku (ID ,PayCertu ,Wo ,Expire, Add) 

其 中 ,SKu 为 客户 的 签名 私 钥 ,IDw 为 商家 标识 ,PayCertu 为 用 户 的 支付 证 书 ,W 为 
散 列 链 的 根 ,Expire 为 支付 承诺 的 有 效 期 ,Add 
为 附加 信息 。 客 户 在 每 次 支付 时 都 以 同 计算 散 i 
列 链 相 反 的 顺序 向 商家 递交 散 列 序列 中 的 值 ， 客户 ) 第 一 次 支付 :(W,1) 商家 (M0) 
如 图 8.13 所 示 。 第 二 次 支付 : (WV,2) 

商家 首先 用 客户 的 公 钥 解 开 客户 发 来 的 支 第 /次 支付 : (Wi ,DD 
付 承 诺 , 如 果 解 密 成 功 ,表示 支付 承诺 有 效 . 客 图 8.13 基于 散 列 链 的 微 支付 的 支付 流程 
户 愿意 支付 ,并 且 以 后 不 能 抵赖 。 然 后 提取 出 
其 中 的 Wo。 ,以 后 客户 每 次 向 商家 支付 时 ,商家 就 可 以 对 W; 求 散 列 值 并 与 W。 比 较 来 验 
证 客户 发 来 的 W; 是 否 有 效 。 

3) 支付 

例如 ,第 一 次 支付 时 ,客户 将 第 一 个 散 列 值 W, 及 其 索引 值 组 成 的 支付 对 (Wi ,1) 发 
送 给 商家 ,商家 通过 对 Wi, 进行 一 次 散 列 运 算 , 青 与 W。 比较 ,来 验证 其 是 否 合法 。 

当 第 一 个 散 列 值 被 商家 接受 后 ,客户 即 可 重复 进行 多 次 支付 , 即 把 第 i 个 支付 对 
(Wi, 门 发送 给 商家 以 进行 第 i 次 支付 ,商家 通过 对 W; 进行 散 列 运算 ,并 与 客户 在 上 一 次 
支付 时 提交 的 W;-1 进 行 比 较 , 若 两 个 值 相同 , 则 第 i 个 散 列 值 合 法 。 

在 这 个 过 程 中 ,即使 支付 承诺 被 攻击 者 截获 ,攻击 者 取得 Wo ,根据 散 列 函 数 的 单 向 
性 ,他 也 无 法 用 W。 求 得 Wi ,Ws,… ,Wi ,因此 无 法 伪造 Wi ,Ws，,…,WL 进行 支付 。 

基于 散 列 链 的 微 支付 方案 也 可 支持 可 变 面 值 的 支付 。 在 上 述 支付 过 程 中 ,假设 每 个 
散 列 值 代表 的 面额 为 1 角 。 那 么 客户 通过 发 送 特定 支付 对 的 方法 可 以 实现 可 变 面额 的 
支付 。 假 设 客户 在 发 送 完 Ws 后 要 进行 一 次 4 角 的 支付 ,他 可 以 将 第 9 个 支付 对 (W, ,9) 
发 送 给 商家 ,商家 通过 支付 对 信息 中 的 索引 值 9, 可 以 知道 需要 对 W。 进行 4 次 散 列 运 
算 ,再 与 Ws 比较 以 验证 该 散 列 值 是 否 有 效 。 

客户 在 完成 支付 或 支付 承诺 过 期 前 ,需要 维护 一 个 未 花费 散 列 值 的 列表 ,该 列表 实 
际 上 只 需 保存 散 列 链 的 错 Ww 即 可 ,因为 其 他 的 散 列 值 都 可 以 由 它 推算 出 来 。 商 家 应 当 
保存 客户 的 支付 承诺 和 最 后 一 个 有 效 的 散 列 值 W;。 即 使 经 纪 人 已 经 兑现 了 商家 提交 的 
散 列 链 和 支付 承诺 ,商家 仍然 需要 在 支付 承诺 过 期 前 对 其 进行 维护 ,以 防止 攻击 者 进行 

由 于 商家 只 有 接收 到 未 使 用 过 的 散 列 值 才 能 成 功 进行 散 列 运算 ,因此 基于 散 列 链 的 
微 支付 能 很 好 地 防止 客户 重用 已 使 用 过 的 现金 ,也 能 够 防止 攻击 者 重 放 已 使 用 过 的 
现金 。 

4) 商家 清算 

一 段 时 间 后 ,商家 会 集中 把 散 列 链 和 支付 承诺 提交 给 经 纪 人 进行 兑现 。 商 家 只 需 将 
已 经 收 到 的 最 后 一 个 有 效 的 散 列 值 W; 和 其 索引 (以 及 客户 已 经 签名 的 支付 承诺 一 起 
传送 给 经 纪 人 。 经 纪 人 会 将 W; 做 i 次 的 散 列 运算 ,将 运算 结果 和 付款 承诺 中 的 W。 比 
较 , 如 果 相 同 , 经 纪 人 就 会 把 款项 存 人 商家 的 账号 之 中 ,至 此 完成 整个 微 支付 协议 。 

由 于 采用 了 支付 承诺 的 方式 .一 个 散 列 链 一 般 都 针对 特定 商家 。 
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基于 散 列 链 的 典型 微 支付 系统 比较 多 ,如 Payword、Pedersen 提出 的 小 额 支付 、 
NetCard 和 Paytree 等 。 


855 Payword 微 支付 系统 


Payword 微 支付 系统 是 由 RSA 的 发 明 人 Rivest 和 Shmari 于 1996 年 提出 的 一 种 微 
支付 体制 。 其 协议 设计 的 目的 是 降低 在 付款 过 程 中 公 钥 的 运算 次 数 , 从 而 满足 微 支付 对 
于 成 本 和 效率 的 需求 。 


1. Payword 的 支付 原理 和 过 程 


Payword 是 基于 信用 的 微 支付 系统 , 它 采用 付款 串 列 (payword) 值 表示 客户 的 信用 。 
付款 串 列 也 采用 如 图 8. 13 所 示 的 支付 模型 。 在 支付 过 程 中 ,经 纪 人 将 利用 Payword 凭 
证 授权 客户 生成 一 个 付款 串 列 ,然后 客户 可 以 将 付款 串 列 作为 付款 现金 提交 给 商家 ,从 
而 使 得 商家 可 以 通过 经 纪 人 兑换 货币 。 它 涉及 如 下 一 些 概念 

1) 付款 串 列 

在 PayWord 中 ,客户 是 利用 付款 串 列 作 为 和 商家 交易 时 进行 付款 的 “金钱 ”"。 这 种 
付款 串 列 是 由 客户 在 将 要 和 商家 进行 交易 时 自己 产生 出 来 的 。 

这 种 付款 串 列 的 生成 方法 是 : 客户 随机 选择 一 个 数字 Ww ,把 它 当 作 产 生 付 款 串 列 
的 “种 子 ”(Seed) ,然后 利用 下 面 的 规则 产生 付款 序列 ， 

Wi 一 AhAW) 1 一 272 一 1,…，1 

对 Ww 进行 N 次 散 列 计算 (如 使 用 SHA-1 散 列 算法 ) ,每 个 散 列 值 都 形成 一 个 支付 
单元 ,是 用 来 付款 的 金钱”。 每 一 个 散 列 值 都 有 固定 的 单位 ,如 1 角 。 而 计算 出 来 串 列 
的 最 后 一 个 值 W。 并 不 是 整个 付款 串 列 的 一 部 分 , 它 是 整个 串 列 的 “ 根 ”(root) ,是 不 能 用 
来 付款 的 ,而 是 在 验证 此 付款 串 列 的 正确 性 时 可 以 作为 验证 的 依据 。 

提示 : 如 果 在 这 一 步 中 客户 对 Ww 进行 非常 多 次 散 列 计算 (如 10 000 次 ), 则 他 生成 
的 “金钱 ”会 非常 多 ,但 在 下 一 步 经 纪 人 发 给 客户 的 “付款 凭证 ”中 对 能 够 用 于 支付 的 总 金 
额 进行 了 限制 ,而 且 付 款 凭证 会 定期 更 新 (付款 凭证 更 新 后 需 重 新 产生 散 列 链 ), 从 而 保 
证 客户 的 账户 不 会 出 现 过 多 的 透支 。 

2) 付款 凭证 (Certificate) 

Payword 规定 ,客户 在 进行 消费 前 ,必须 向 经 纪 人 申请 开户 ,经 纪 人 审核 通过 后 , 客 
户 便 会 得 到 一 个 由 经 纪 人 发 给 的 使 用 者 凭证 , 它 包 含 以 下 信息 : 

PayCertu 一 Signsks (B,IDu,PKu ,Expire, Add) 

其 中 ,B 为 经 纪 人 标识 , SKs 为 经 纪 人 的 私 钥 ,IDu 为 客户 标识 ,PKu 为 客户 的 公 钥 ， 
Expire 为 证 书 的 有 效 期 ,Add 为 附加 信息 。 

3) 付款 承诺 (Commitment) 

付款 承诺 是 由 客户 产生 的 ,是 客户 用 自己 的 私 钥 对 以 下 信息 进行 签名 而 得 到 的 : 

PayCommit 一 Signsku (IDw ,PayCertu ,Wo , Expire, Add) 

其 中 ,SKu 为 客户 的 签名 私 钥 ,IDw 为 商家 标识 ,PayCertu 为 用 户 的 支付 证 书 ,W。 为 散 列 
链 的 根 ,Expire 为 支付 承诺 的 有 效 期 ,Add 为 附加 信息 。 
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客户 和 商家 进行 首次 交易 进行 付款 时 ,必须 先 将 付款 承诺 发 送 给 商家 。 这 样 做 的 目 
的 不 仅 能 让 商家 得 到 W。 对 客户 以 后 支付 的 散 列 值 W; 进行 验证 ,而 且 还 能 证 明 客 户 确 
实 承诺 付款 ,因为 该 信息 有 客户 的 签名 ,防止 客户 以 后 抵赖 的 行为 发 生 。 

4) 购买 

在 客户 想 要 购买 商家 的 商品 前 ,必须 先 送出 付款 承诺 给 商家 。 商 家 收 到 后 ,用 客户 
的 公 钥 将 付款 承诺 解密 ,然后 验证 IDw 和 Expire 及 客户 付款 凭证 PayCertu 的 正确 性 。 
若 验 证 完全 正确 , 则 商家 将 此 付款 承诺 存储 起 来 直到 截止 日 期 。 

假设 客户 想 购 买 的 商品 价格 是 1 角 , 则 他 必须 把 Wi 传送 给 商家 ,商家 收 到 后 ,将 Wl 
经 过 一 次 散 列 函 数 运算 后 ,将 所 得 到 的 值 和 付款 承诺 中 的 W。 相 比 较 , 若 相同 ,那么 商家 
可 以 确信 所 收 到 的 Wi 属于 付款 串 列 中 的 一 个 支付 单元 。 

如 果 之 后 客户 又 要 购买 一 个 4 角 的 商品 , 则 客户 将 Ws 传送 给 商家 ,商家 根据 索引 值 
对 Ws 做 4 次 散 列 函 数 运 算 , 将 结果 和 刚才 的 Wi 做 比较 ,车 结果 相同 , 则 可 以 确信 Ws 是 
正确 的 支付 单元 。 这 样 ,经 过 多 次 交易 后 ,商家 只 要 存储 最 后 收 到 的 W; 和 其 索引 (5) 以 
及 先前 收 到 的 付款 承诺 。 

5) 清算 

“清算 ”是 指 商家 将 之 前 和 客户 交易 所 收 到 的 散 列 值 ( 即 付款 串 列 ) ,向 经 纪 人 要 求 转 
换 成 传统 货币 的 行为 。 如 前 所 述 ,商家 只 要 在 每 天 固定 时 间 将 已 收 到 的 最 后 一 个 W, 和 
其 索引 (7) 以 及 客户 签名 了 的 “付款 承诺 ”一 起 传送 给 经 纪 人 就 能 完成 清算 了 。 


2. 对 Payword 支付 系统 的 分 析 


Payword 的 安全 性 体现 在 以 下 几 方 面 : 

(1) 防止 伪造 。 由 于 采用 了 强 散 列 函 数 的 特性 ,已 知已 花费 的 散 列 值 ,导出 未 花费 的 
散 列 值 等 价 于 从 散 列 函 数 的 输出 求 散 列 函 数 的 输入 .在 计算 上 是 很 困难 的 ,这 样 可 以 有 
效 防止 伪造 付款 串 列 。 

(2) 防止 重用 。 由 于 客户 在 支付 时 需要 提交 承诺 和 相应 的 付款 串 列 的 根 ,并 且 商 家 
和 经 纪 人 也 保留 了 客户 最 后 一 次 消费 的 付款 串 列 , 因 此 系统 可 以 通过 客户 的 承诺 以 及 已 
花费 的 付款 串 列 来 有 效 地 防止 客户 提交 用 过 的 付款 串 列 , 防 止 了 客户 的 重复 使 用 和 商家 
的 重复 兑换 。 但 Payword 协议 本 身 只 能 用 于 单个 商家 。 

但 Payword 也 有 其 本 身 的 缺陷 。 它 可 能 导致 客户 的 隐私 暴露 。 如 果 其 他 人 (客户 、 
经 纪 人 和 商家 除外 ) 获 取 了 经 纪 人 的 公 钥 , 则 他 可 以 解密 付款 凭证 ,从 而 了 解 客户 的 详细 
信息 (如 地 址 ) 等 ,这 样 就 破坏 了 电子 现金 的 匿名 性 。 此 外 ,由 于 客户 要 对 他 需要 支付 的 
商家 签署 承诺 ,所 以 如 果 客 户 频 繁 更 换 商 家 , 则 承诺 的 签署 将 导致 很 大 的 计算 消耗 。 

Payword 支付 系统 满足 了 微 支 付 系统 要 求 的 高 效 性 、 安 全 性 的 需求 。 它 的 高 效 性 体 
现在 以 下 几 方 面 。 

(1) 支付 交易 中 不 需要 保留 过 多 的 信息 ,如 订购 的 商品 与 信息 等 ,从 而 减少 了 内 存 的 
占用 。 

(2) 系统 的 许多 耗 时 操作 是 离线 完成 的 ,如 证 书签 署 和 货币 兑换 。 这 样 可 以 提高 效 
率 ,适合 于 客户 对 某 一 商家 的 经 常 性 访问 。 
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(3) Payword 支持 可 变 大 小 的 支付 。 
(4) 采用 散 列 函数 减少 了 支付 过 程 中 公 钥 操作 的 次 数 ,从 而 减少 了 公 钥 加 密 的 计算 
成 本 ,提高 了 系统 的 性 能 。 


856 微 支付 协议 小 结 


从 以 上 几 种 微 支付 协议 可 以 看 出 ,目前 的 微 支付 技术 还 处 于 发 展 过 程 中 ,一 旦 微 支 
付 技术 完全 成 熟 , 则 可 能 会 使 Internet 上 的 所 有 信息 均 转 换 为 商品 进行 交易 ,由 此 将 带 
来 巨大 的 经 济 效益 。 表 8. 2 对 本 章 介 绍 的 几 种 微 支 付 协议 进行 了 一 个 比较 。 

表 8.2 常见 微 支付 协议 的 比较 


和 凭据 产 认证 或 兑 采用 的 密 信用 / 
微 支 付 协议 交易 凭据 生 主 体 换 方式 码 技术 特 殊 性 借 记 
es 商家 签名 的 商家 或 根据 安全 性 和 效率 | ma 
Millicent 票据 经 纪 人 离线 对 称 , 散 列 有 三 种 协议 形式 借 记 
MicroMint " 经 纪 人 离线 散 列 nd 借 记 
Payword 支 们 同一 支付 链 只 
Payword | PWong 支付 客户 离线 | 公 饮 , 散 列 | 四 吕 六 舍 管 只 能 用 | 信用 
习 是 
1. 下 列 电子 现金 协议 中 ( ) 完 全 没有 使 用 公 钥 技术 。( 多 选 ) 
A. E-cash B. Payword C. MicroMint D. Millicent 
2. 盲 签名 和 分 割 选择 协议 主要 用 来 实现 电子 现金 的 ( js 
A. 不 可 重用 性 B. 可 分 性 C. 独立 性 D. 匿名 性 


3. 条 件 匿名 的 电子 现金 方案 需要 使 用 的 盲 签 名 技术 是 ( Ws 
A. 部 分 盲 签 名 B. 完全 盲 签名 C. 公平 盲 签 名 D. 限制 性 盲 签 名 
4. 电子 现金 的 不 可 伪造 性 是 通过 对 电子 现金 的 数字 签名 实现 的 。 
5. 电子 现金 必须 具有 的 基本 特性 包括 
6. 电子 支付 包括 哪 几 种 支付 方式 ? 
7. 简 述 微 支付 协议 必须 具有 的 特点 。 
8. 电子 现金 的 多 银行 性 是 指 什么 ? 它 可 以 如 何 实现 ? 
9. 简 述 Millicent 和 MicroMint 分 别 是 如 何 防止 用 户 伪造 货币 的 ,Payword 是 如 何 
防止 用 户 重复 花费 的 。 


第 9 音 CrBpferLCI 
移动 电子 商务 的 安全 


随 着 移动 通信 技术 的 发 展 及 移动 终端 的 普及 ,移动 电子 商务 (M-commerce) 作 为 一 
种 新 的 电子 商务 模式 也 应 运 而 生 ,并 且 日 益 成 为 电子 商务 发 展 的 新 热点 。 作 为 电子 商务 
的 一 个 新 分 支 ,移动 电子 商务 是 指 人 们 利用 手机 、 平 板 电脑 等 移动 终端 设备 通过 无 线 网 
络 技术 接 入 Internet 而 进行 的 电子 商务 交易 活动 。 由 于 移动 终端 省 去 了 传统 意义 上 的 
网 络 接 入 ,因此 移动 电子 商务 最 大 的 特点 是 方便 灵活 ,用 户 可 以 随时 随地 地 安排 所 需 的 
商务 活动 。 

目前 移动 电子 商务 主要 包括 WAP 网 站 移动 支付 .网 上 股市 .移动 银行 等 项 目 , 可 以 
提供 个 人 信息 服务 .股票 交易 .网 上 购物 和 银行 业务 等 服务 。 移 动 商务 不 仅 可 以 在 网 上 
交易 商品 ,更 重要 的 是 提供 了 一 种 全 新 的 商品 销售 和 促销 的 渠道 ,用 户 和 商家 都 可 以 从 
中 受益 。 移 动 商 务 可 以 满足 消费 者 个 性 化 需求 ,用 户 可 以 根据 自己 的 实际 需求 选择 上 网 
设备 和 服务 项 目 , 获 得 所 需 的 产品 或 服务 。 

作为 对 传统 电子 商务 的 补充 和 发 展 ,移动 电子 商务 继承 了 电子 商务 的 特点 ,并 与 无 
线 网 络 结合 起 来 ,使 得 电子 商务 的 各 种 业务 流程 从 有 线 转向 无 线 网 络 运行 ,大 大 拓展 了 
电子 商务 的 概念 、 内 涵 和 方法 。 


91 移动 电子 商务 的 实现 技术 


由 于 移动 电子 商务 是 基于 无 线 网 络 的 ,因此 移动 电子 商务 的 实现 技术 与 传统 电子 
商务 相 比 也 有 一 些 区 别 。 除 了 传统 的 Internet 网 络 技术 外 ,移动 电子 商务 还 需 借 助 于 
几 种 特有 的 技术 ,这 些 技术 主要 有 无 线 应 用 通信 协议 (Wireless Application Protocol， 
WAP) 无线 公 钥 基 础 设施 (Wireless PKI, WPKI) 无线 传 输 层 安全 协议 (Wireless 
Transport Layer Security, WTLS) 以 及 一 些 无 线 连 接 协议 (移动 了 P 技术 .蓝牙 技术 、WiFi 
技术 ) 和 无 线 传输 协议 (通用 分 组 无 线 业务 GPRS, 第 三 代 移 动 通信 系统 3G) ,如 图 9.1 
所 示 。 
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无 线 网 络 访问 mteret | 一 一 一 一 一 一 WAP 协议 
无 线 网 络 安全 机 制 无 线 连 接 协 议 
: | I I 
WPKI | WTILS 移动 TP 技术 a 
无 线 传输 协议 
| I IEEE 802.11 标准 
GPRS | 3G 


9.1 目前 移动 电子 商务 使 用 的 一 些 典 型 技术 


911 无 线 应 用 通信 协议 (WAP) 


1. WAP 协议 概述 


为 了 使 人 们 能 通过 手机 等 无 线 终端 方便 安全 地 访问 Internet 上 的 信息 资源 ,1997 年 
由 爱立信 、 摩托罗拉 .诺基亚 等 公司 组 建 的 无 线 应 用 协议 论坛 (WAP 论坛 ) 率 先 提出 了 
WAP 协议 ,WAP 协议 是 一 个 用 于 向 无 线 终端 进行 智能 化 信息 传递 的 无 须 授 权 、 不 依赖 
于 平台 的 协议 ,WAP 将 Internet 和 高 级 数据 业务 以 智能 信息 传送 的 方式 引入 手机 、PDA 
等 无 线 终端 ,并 实现 兼容 和 互 操作 。 目 前 WAP 已 获得 广大 通信 和 信息 技术 厂商 支持 ,成 
为 移动 通信 和 领域 的 一 种 标准 应 用 协议 。 

WAP 的 目标 就 是 通过 WAP 这 种 技术 ,将 Internet 上 的 大 量 信 息 及 各 种 各 样 的 业务 
引入 到 手机 ,平板 电脑 等 无 线 终端 之 中 。 使 人 们 能 随时 随地 通过 WAP 手机 访问 无 穷 无 
尽 的 Internet 网 上 信息 或 资源 。WAP 协议 的 设计 原则 是 基于 Internet 中 广泛 应 用 的 标 
准 ( 如 HTTP,.TCP/IP,SSL,XML 等 ) ,提供 一 个 独立 于 空中 接口 和 无 线 设 备 的 无 线 
Internet 解决 方案 ( 即 无 线 设 备 访 问 Internet 的 解决 方案 ), 同 时 支持 未 来 的 开放 标准 。 
其 中 ,独立 于 空中 接口 是 指 WAP 应 用 (如 对 话音 、 传 真 .E-mail 的 统一 消息 处 理 等 ) 能 够 
独立 运行 于 各 种 无 线 网 络 之 上 (如 TDMA CDMA `GSM .GPRS .蓝牙 .USSD、3G 等 ) ,而 
不 必 考 虑 这 些 无 线 网 络 之 间 的 差异 .从 而 最 大 限度 地 兼容 现 有 的 和 未 来 的 各 种 移动 通信 
系统 ;独立 于 无 线 设 备 指 WAP 应 用 能 够 运行 于 从 手机 到 功能 强大 的 平板 电脑 等 各 种 无 
线 设备 上 ,只 要 这 些 设备 遵循 WAP 标准 来 生产 ,就 会 有 对 用 户 来 说 一 致 的 操作 方式 。 总 
之 ,WAP 协议 在 设计 时 主要 遵循 以 下 目标 : 

(1) 操作 能 力 。 由 不 同 厂商 生产 的 移动 终端 能 够 在 移动 网 络 中 互联 互通 。 

(2) 伸缩 性 。 能 够 根据 用 户 的 需求 对 移动 网 络 的 服务 进行 定制 。 

(3) 效率 。 提 供 适 合 于 移动 网 络 特点 的 服务 质量 (QoS) 保 证 。 

(4) 可 靠 性 。 提 供 一 致 的 和 可 靠 的 服务 应 用 平台 。 

(5) 安全 性 。 即 使 在 不 具有 保护 能 力 的 移动 网 络 和 设备 上 , 仍 能 通过 WAP 提供 的 
服务 来 保护 用 户 数据 的 完整 性 。 
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2. WAP 协议 解决 的 问题 


在 互联 网 中 ,一 般 协议 要 求 发 送 的 信息 数据 主要 是 基于 文本 格式 ,HTTP 协议 并 未 
采用 压缩 的 二 进 制 方式 ,而 是 以 效率 不 高 的 文本 格式 来 发 送 命令 和 标题 。 因 此 ,如 果 在 
无 线 通 信和 环境 中 采用 普通 的 HTTP 协议 ,将 会 导致 会 话 速度 慢 、 成 本 高 等 问题 。 而 且 
TCP/IP 和 HTTP 协议 并 没有 针对 无 线 网 络 信 号 不 连续 覆盖 的 问题 提出 解决 方案 ,对 长 
时 间 延 时 和 有 限 带 宽 的 问题 也 未 进行 优化 处 理 。 另 外 ,无 线 电 传输 的 延 时 还 会 产生 成 其 
他 问题 。 

为 了 解决 上 述 问题 ,WAP 采取 了 很 多 技术 进行 优化 处 理 。 例 如 ,使 用 二 进 制 来 传输 
经 过 高 度 压缩 的 数据 ,并 对 中 低 带 宽 和 长 延 时 进行 优化 。 同 时 ,WAP 的 会 话 功能 可 以 对 
信号 不 连续 覆盖 的 问题 进行 处 理 , 并 能 在 IP 不 可 用 时 自动 地 改 用 其 他 协议 来 进行 各 类 
信息 传输 。 此 外 WAP 使 用 WML 语言 进行 网 页 编写 ,这 样 可 以 解决 互联 网 页 面 无 法 在 
移动 设备 上 正常 显示 的 问题 ,而 且 运 用 WML 编写 的 网 页 可 以 在 手机 的 微 浏览 器 上 产生 
图 形 ,按钮 及 超 链接 等 功能 ,还 可 以 提供 数据 输入 ,信息 浏览 .表格 显示 ,文本 和 图 像 显 示 
等 功能 , 极 大 地 减 小 了 在 移动 通信 设备 上 浏览 网 页 的 复杂 程度 。 表 9.1 对 WWW 和 
WAP 的 特点 进行 了 比较 。 


表 9.1 WWW 和 WAP 协议 特点 的 比较 


协 议 WwW WAP 
数据 传输 文本 格式 数据 二 进 制 数据 (高 度 压缩 
网 页 格式 HTML WML 
脚本 语言 JavaScript 等 WMLScript 
对 中 低 带宽 的 优化 无 有 
对 信号 不 连续 问题 的 处 理 无 有 


912 WAP 的 应 用 模型 和 结构 


1. WAP 应 用 模型 


一 个 典型 的 WAP 应 用 模型 主要 由 3 类 实体 组 成 : 移动 终端 (如 手机 )、WAP 网 关 和 
内 容 服 务 器 (如 Web 服务 器 ) ,如 图 9.2 所 示 。 各 实体 功能 如 下 : 


CD 本 -CD 是 


移动 终端 Web 服务 器 
图 9.2 WAP 应 用 模型 


(1) 移动 终端 : 典型 的 移动 终端 是 手机 。 手 机 应 用 程序 中 内 符 支 持 WAP 技术 的 浏 
览 器 ,例如 Opera 等 。 用 户 可 以 在 浏览 器 上 进行 简单 的 操作 来 实现 基于 WAP 的 业务 请 
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求 , 以 无 线 方式 发 送 和 接收 信息 。WAP 终端 通常 采用 WML( 无 线 标记 语言 ) 语 言 来 显示 
文字 和 图 像 。WML 类 似 于 构建 网 页 的 HTML 语言 。 

(2) WAP 网 关 : 即 WAP 代理 ,主要 用 来 把 客户 端 与 WAP 网 关 之 间 传递 的 信息 进 
行 编码 和 人 解码 (包括 请 求 和 响应 信息 ) ,压缩 WAP 数据 以 减少 网 络 数据 流量 等 。WAP 
网 关 使 用 代理 技术 同时 连接 无 线 网 络 和 Internet, 具 有 协议 转换 功能 ,该 功能 负责 把 
WWW 协议 栈 的 请 求 转换 为 WAP 协议 栈 的 请 求 ,或 者 将 WAP 协议 栈 的 请 求 转换 为 
WWW 协议 栈 的 请 求 。 

(3) 内 容 服务 器 : 如 支持 WAP 访问 的 Web 网 站 ,此 类 Web 站 点 的 服务 器 支持 
WAP 应 用 ,可 以 根据 用 户 请 求 而 被 访问 。 

WAP 应 用 基本 工作 流程 可 以 描述 为 以 下 4 个 阶段 : 

(1) 用 户 使 用 移动 终端 将 编码 后 的 HTTP 请 求 通过 移动 信息 网 络 发 送 给 WAP 
网 关 。 

(2) WAP 网 关 接 收 到 请 求 ,将 其 解码 并 转换 为 标准 的 HTTP 请 求 提交 给 内 容 服 
务 器 。 

(3) 内 容 服 务 器 将 响应 信息 返回 给 WAP 网 关 。 

(4) WAP 网 关 再 将 响应 信息 解码 并 返回 给 用 户 。 

提示 : 目前 许多 大 型 网 站 专门 制作 了 适合 手机 访问 的 WAP 网站, 这些 网 站 的 域名 
中 一 般 有 wap, 如 http://wap.163.com, 但 要 注意 的 是 ,无 论 手机 访问 哪 种 网 站 ,包括 普 
通 网 站 ,如 http://www.163.com, 都 需要 通过 WAP 协议 访问 。 

WAP 能 支持 HTML 和 XML, 但 WML(Wireless Markup Language, 无 线 标记 语 
言 ) 才 是 专门 为 小 屏幕 和 无 键盘 手持 设备 服务 的 语言 。WAP 也 支持 WMLScript。 这 种 
脚本 语言 类 似 于 JavaScript, 但 对 内 存 和 CPU 的 要 求 更 低 , 因 为 它 基本 上 没有 其 他 脚本 
语言 所 包含 的 无 用 功能 。 


2. WAP 的 体系 结构 


WAP 也 采用 分 层 的 体系 结构 ,并 且 与 Internet 的 体系 结构 (TCP/IP) 及 OSI 模型 有 
着 清晰 的 对 应 关系 ,如 图 9. 3 所 示 。 通 过 分 层 设计 ,每 层 协 议 实现 相对 独立 的 功能 ,每 一 


OSI WAP JInternet 
应 用 层 上 一-| 无 线 应 用 环境 (WAE) | 其 他 最 | rv 
会 话 层 | -| 无 线 会 话 协议 (WSP) | 应 

KY HTIP 
事务 层 | 一 -| 无 线 事务 协议 (WTP) 
安全 层 | 一 -| 无 线 传输 链 路 安全 (WTLS) 一 SSLATLS 
传输 层 | 一 -| 无 线 数据 报 协议 (WDP) ee 
网 络 层 | -| 承载 网 络 : USSD 、GSM 、CDMA 等 DEA 
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层 都 可 以 被 上 一 层 或 其 他 应 用 通过 定义 好 的 标准 接口 调用 。 这 样 设 计 的 体系 结构 具有 
更 好 的 伸缩 性 和 可 扩展 性 。 下 面 分 别 介绍 每 层 的 功能 。 

1) 无 线 应 用 环境 (WAE) 

无 线 应 用 环境 (Wireless Application Environment, WAE) 是 一 个 融合 WWW 和 
移动 电话 技术 的 通用 的 应 用 开发 环境 。WAE 的 主要 目标 是 建立 一 个 兼容 的 环境 ,以 便 
能 够 在 各 种 无 线 平台 上 高 效 和 实用 地 开发 和 运行 各 种 应 用 程序 和 服务 。 通 俗 地 说 ,就 是 
把 目前 Internet 上 HTML 语言 的 信息 转换 成 用 WML 描述 的 信息 ,显示 在 WAP 手机 的 
显示 屏 上 。 

WAE 包 括 一 个 微型 浏览 器 环境 ,功能 包括 无 线 标记 语言 (Wireless Markup 
Language,WML) 、WML 脚本 语言 (WMLScript, 一 种 与 JavaScript 相似 的 轻 量 级 脚本 语 
言 ) .无 线 电话 应 用 (Wireless Telephony Application, WTA) .无 线 电话 业务 和 编程 接口 
(WTAD .内容 生成 器 。 

(1) WML 是 以 XML 为 基础 的 标记 语言 ,类 似 于 HTML。 用 WML 编写 的 页 面 专 
门 用 来 在 手机 等 屏幕 较 小 的 移动 终端 上 显示 , 供 人 们 阅读 ,并 可 通过 WMLScript 向 使 用 
者 提供 人 机 交互 界面 。WML 支持 文字 和 图 片 显示 。 在 内 容 组 织 上 ,一 个 页 面 为 一 个 
Card ,而 一 组 Card 则 构成 一 个 Deck。 当 使 用 者 向 服务 器 提出 浏览 要 求 后 , WML 会 将 整 
个 Deck 发 送 至 客户 端的 浏览 器 ,使 用 者 就 可 以 浏览 Deck 里 面 所 有 Card 的 内 容 , 而 不 需 
要 从 网 络 上 单独 下 载 每 个 Card。 

(2) 内 容 生成 器 : WAE 利用 万 维 网 中 的 Web 服务 器 当 作 内 容 生成 器 。WAE 使 用 
WML 和 WMLScript 两 种 语言 作为 其 表现 层 语言 。 为 了 提高 系统 效率 和 带宽 利用 率 ， 
WAE 定 义 了 WML 的 压缩 编码 .WMLScript 的 字 节 码 和 其 他 内 容 的 编码 格式 。 

(3) 用 户 代理 : 在 移动 设备 上 用 于 解释 并 执行 请 求 内 容 的 客户 端 软件 ,包括 WML 
用 户 代理 `WTA 用 户 代 理 以 及 其 他 用 户 代理 。 

(4) 无 线 电话 应 用 : 一 组 对 电话 呼叫 以 及 特征 控制 机 制 所 做 的 特定 扩展 ,向 内 容 创 
建 者 和 最 终 用户 提 供 高 级 移动 网 络 服务 。 

2) 无 线 会 话 协议 (WSP) 

无 线 会 话 协议 (Wireless Session Protocol, WSP) 向 WAE 提供 两 种 会 话 服 务 的 统一 
接口 ,并 特别 针对 低 带 宽 和 高 时 延 的 承载 网 络 进行 了 优化 。 两 种 会 话 服务 分 别 是 ; 面向 
连接 的 服务 , 它 工作 在 事务 层 协议 WTP 之 上 ;无 连接 的 服务 , 它 工作 在 安全 的 或 非 安 全 
的 数据 报 服 务 (WDP) 之 上 。 

WSP 从 某 种 意义 上 讲 基本 上 是 HTTP 的 二 进 制 形式 ,由 提供 某 些 参数 的 WSP 原 语 
实际 上 都 被 映射 到 HTTP 协议 头 中 ,以 便 和 HTTP 兼容 ,以 尽 可 能 地 利用 现 有 资源 。 

3) 无 线 事务 协议 (WTP) 

无 线 事务 协议 (Wireless Transaction Protocol, WTP) 用 来 在 WDP 层 ( 或 可 选 的 
WTLS 层 ) 之 上 实现 可 靠 和 不 可 靠 事 务 的 服务 。 它 支持 带宽 优化 和 重 传 机 制 。WTP 无 
线 事务 的 连接 、 建 立 和 断 开 过 程 是 面向 报 文 的 , 它 定义 了 3 种 报 文 传输 服务 : 

。 类 别 0: 不 可 靠 服务 . 即 一 种 不 需要 确认 的 单 向 推送 信息 的 服务 。 

。 类别 1: 可 靠 的 请 求 , 即 一 种 简单 的 发 送 -确认 服务 ,用 于 实现 WAP 中 的 推送 
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服务 。 
。 类 别 2: 带 有 结果 消息 的 可 靠 请 求 , 即 发 送 -确认 -回应 。 它 是 一 种 三 次 握手 的 
服务 。 

另外 ,WTP 还 具有 可 选 的 采用 类 似 于 TCP/IP 的 方式 对 数据 进行 分 段 和 重组 、 超 时 
重 发 等 机 制 ,并 且 支 持 异 步 事物 处 理 和 协议 数据 单元 的 级 联 和 延迟 确认 ,以 减少 发 送 消 
息 的 数量 。 

4) 无 线 传输 链 路 安全 (WTLS) 

无 线 传输 安全 链 路 协议 (WTLS) 用 于 保证 WAP 的 安全 性 ,提供 端 到 端的 加 密 、 授 权 
和 数据 完整 性 功能 ,类 似 于 Internet 上 的 SSL 协议 。WTLS 运行 在 不 可 靠 的 传输 层 上 。 
WTLS 层 是 可 选 的 。 

5) 无 线 数据 报 协议 (WDP) 

无 线 数据 报 协议 (Wireless Datagram Protocol, WDP) 工 作 在 有 数据 承载 能 力 的 各 种 
类 型 的 网 络 之 上 。 作 为 一 种 通用 的 数据 报 服务 ,WDP 通过 端口 号 来 标识 上 层 的 WAP 实 
体 ,并 在 承载 业务 上 支持 同时 发 生 多 个 通信 事件 。WDP 是 仿照 TCP/IP 中 的 UDP 协议 
设计 的 , 它 具 有 将 数据 报 分 段 与 重组 的 功能 。 

WDP 把 由 网 络 提供 的 承载 服务 与 上 一 层 协议 隔 开 ,允许 应 用 数据 在 不 同 的 承载 商 
之 间 透 明 地 传送 。 这 就 使 得 WDP 可 以 工作 在 诸如 3G、GPRS、CDMA 等 承载 层 之 上 。 
WDP 可 以 针对 当前 不 同 承载 网 络 的 不 同 网 络 服务 质量 提供 不 同 服务 等 级 间 的 补偿 平 
衡 , 使 位 于 上 面 的 WAP 协议 层 无 须 考虑 不 同 网 络 层 服 务 性 能 (如 延 时 、 误 码 率 和 网 络 知 
吐 量 等 ) 带 来 的 差异 。 


3. WAP 技术 的 特点 


过 去 ,无线 Internet 的 接 人 一 直 受 到 手机 设备 和 无 线 网 络 的 限制 。WAP 充分 利用 
了 诸如 XML、UDP 和 IP 等 Internet 标准 , 它 的 许多 规程 建立 在 HTTP 和 TLS 等 
Internet 标准 之 上 ,但 进行 了 优化 ,克服 了 原来 无 线 网 络 环境 下 低 带宽 、 高 延迟 和 连接 稳 
定性 差 的 制约 。 

传统 的 Internet 标准 ,诸如 HTML、HTTP、SSL 和 TCP 是 远 远 不 能 满足 移动 网 络 
要 求 的 ,因为 大 量 的 文本 数据 信息 需要 传送 。 标 准 的 HTML 内 容 已 不 可 能 有 效 地 显示 
在 袖珍 手机 和 PDA 等 狭小 的 屏幕 上 。 

WAP 采用 二 进 制 传输 以 更 大 程度 地 压缩 数据 ,同时 它 的 优化 功能 适 于 更 长 的 等 待 
时 间 (long latency) 和 低 带宽 。WAP 的 会 话 系统 可 以 处 理 间 歇 覆 盖 (intermittent 
coverage) ,同时 可 在 无 线 传输 的 各 种 变化 条 件 下 进行 操作 。 

WML 和 WMLScript 用 于 制作 WAP 内 容 ,这 样 可 最 大 限度 地 利用 小 屏幕 显示 。 
WAP 的 内 容 可 从 一 个 最 新 式 的 智能 电话 或 其 他 通信 器 的 两 行文 字 的 屏幕 上 显示 出 来 ， 
也 可 以 转变 为 一 个 全 图 像 屏幕 显示 。 

轻巧 的 WAP 规程 栈 式 存储 器 的 设计 可 使 需要 的 带宽 达到 最 小 化 ,同时 使 能 够 提供 
WAP 内 容 的 无 线 网 络 类 型 达到 最 多 。 它 适用 于 多 种 网 络 ,诸如 全 球 移动 通信 系统 
GSM900、GSM1800 和 GSM 1900 ,欧洲 制式 DECT ,时 分 多 址 接 人 ,个 人 通信 业务 ,高速 
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寻 呼 (FLEX) 和 码 分 多 址 CDMA 等 。 同 时 它 也 支持 所 有 的 网 络 技术 和 承载 业务 ,包括 短 
消息 业务 (SMS) , 非 结构 式 辅 助 业务 数据 (USSD) 和 通用 分 组 无 线 业务 (GPRS) 等 。 由 于 
WAP 建立 在 可 升级 的 分 层 结 构 基 础 上 ,每 一 个 分 层 可 独立 于 其 他 分 层 而 发 展 ,这 使 得 它 
在 不 需要 对 其 他 分 层 作 改变 的 情况 下 就 可 以 引进 其 他 承载 业务 或 使 用 新 的 传输 规程 。 

WAP 标准 没有 规定 WAP 设备 应 为 何 种 形态 ,这 对 设备 制造 商 极为 有 利 , 可 使 他 们 
能 够 生产 出 各 种 不 同类 型 的 设备 以 满足 不 同 需要 。 在 不 久 的 将 来 ,市 场 对 WAP 设备 的 
要 求 会 以 浏览 器 的 显示 屏 尺寸 .输入 装置 及 内 存 大 小 等 不 同 为 根据 ,从 而 促使 WAP 设备 
在 新 技术 及 解决 方案 上 得 以 发 展 进步 。 


913 移动 网 络 技术 


WAP 解决 了 移动 网 络 访问 Internet 信息 资源 的 问题 。 但 移动 网 络 本 身 还 有 许多 方 
面 与 有 线 网 络 不 同 ,需要 采用 一 些 特殊 的 技术 解决 。 下 面 介绍 移动 网 络 常用 的 一 些 
技术 。 


1. 移动 IP 技术 


在 传统 网 络 技术 中 ,主机 使 用 固定 的 IP 地址 和 TCP 端口 号 进行 相互 通信 ,在 通信 期 
间 它 们 的 IP 和 TCP 端口 号 必须 保持 不 变 ,否则 主机 之 间 的 通信 将 无 法 继续 。 而 移动 网 
络 的 基本 问题 是 主机 在 通信 期 间 可 能 需要 在 网 络 上 移动 , 它 的 IP 地 址 也 许 会 经 常 发 生 
变化 ,而 IP 地 址 的 变化 最 终 会 导致 通信 的 中 断 。 为 了 解决 节点 移动 ( 即 IP 地 址 变化 ) 而 
导致 通信 中 断 的 问题 ,就 出 现 了 移动 IP 技术 。 

移动 IP 技术 是 对 IP 协议 进行 扩展 ,用 来 支持 终端 的 移动 性 ,使 得 移动 节点 能 以 固定 
网 络 的 IP 地 址 ,实现 跨越 不 同 网 段 的 移动 漫游 功能 ,并 保证 基于 网 络 IP 的 移动 节点 权限 
在 漫游 过 程 中 不 发 生 任何 改变 。 移 动 IP 技术 是 移动 通信 和 IP 协议 的 深层 融合 ,为 移动 
节点 提供 了 一 个 高 质量 的 实现 技术 ,可 应 用 于 用 户 需要 经 常 移 动 的 所 有 领域 。 

移动 IP 技术 最 重要 的 功能 是 能 够 保证 计算 机 在 移动 的 过 程 中 ,在 不 改变 IP 地 址 、 不 
中 断 正在 进行 的 网 络 通信 及 正在 执行 的 网 络 应 用 的 前 提 下 ,实现 对 网 络 的 不 间断 访问 。 
移动 IP 的 首要 目标 显然 是 解决 节点 移动 的 问题 ,但 与 节点 移动 相对 应 的 另 一 个 关键 问 
题 是 如 何 实现 对 移动 节点 身份 认证 。 移 动 IP 安全 注册 协议 就 是 解决 移动 节点 身份 认证 
的 主要 技术 。 总 之 ,解决 移动 IP 问题 的 基本 思路 是 使 用 漫游 位 置 登记 、 隧 道 技术 .认证 
等 技术 。 从 而 使 移动 节点 使 用 固定 不 变 的 IP 地 址 ,一 次 登录 后 即 可 实现 任意 位 置 的 子 
网 漫游 到 另 一 个 子 网 时 保持 与 IP 主机 的 单一 链 路 层 连接 ,从 而 使 通信 持续 进行 。 


2. IEEE 802. 11 标准 


IEEE 802 工作 组 建立 了 很 多 局 域 网 的 标准 ,其 中 ,IEEE 802. 11 协议 是 第 一 个 被 国 
际 上 认可 的 无 线 局 域 网 标准 。 主 要 用 于 解决 局 域 网 中 用 户 与 用 户 终 端的 无 线 接 入 问 
题 , 它 的 功能 局 限于 数据 存 取 ,速率 最 高 只 能 达到 2Mb/s。 由 于 IEEE 802. 11 在 速率 和 
传输 距离 上 都 不 能 满足 人 们 的 需要 ,因此 ,IEEE 小 组 又 相继 推出 了 IEEE 802. 11b 和 
IEEE 802. 11a 两 个 新 标准 。 三 者 之 间 技 术 上 的 主要 差别 在 于 MAC 子 层 和 物理 层 。 
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IEEE 802. 11b 是 所 有 无 线 局 域 网 标准 中 最 著名 、 最 为 普及 的 标准 ,被 人 们 称 为 WiFi。 其 
载波 的 频率 为 2. 4GHz, 传 输 速率 为 11Mb/s,IEEE 802. 11b 定义 了 两 种 运作 模式 : 点 对 
点 (Ad hoc) 模 式 和 基础 (Infrastructure) 模 式 。 


3. 蓝牙 技术 


蓝牙 (Blue Tooth) 是 一 种 短 距离 (一 般 在 10m 内 ,如果 增 加 功率 或 是 加 上 某 些 外 设 ， 
也 可 达到 100m 的 传输 距离 ) 的 无 线 局 域 网 技术 , 旨 在 提供 一 个 低 成 本 、 低 功率 、 高 可 靠 性 
并 且 可 以 进行 高 质量 语音 传输 的 无 线 网 络 。 

蓝牙 采用 分 散 式 网 络 结构 以 及 跳 频 技术 ,支持 点 对 点 及 点 对 多 点 通信 。 采 用 时 分 双 
工 传输 方案 实现 全 双 工 传输 ,工作 在 全 球 通用 的 2. 4GHz 频段 ,数据 速率 为 1Mb/s, 能 在 
包括 手机 、PDA 蓝牙 耳机 ,笔记 本 电脑 和 相关 外 设 等 众多 设备 之 间 进 行 无 线 信息 交换 。 

蓝牙 技术 使 得 不 同 厂家 的 设备 间 可 以 在 无 线 连 接 的 状态 下 进行 信息 交换 和 操作 。 
目前 主要 应 用 在 汽车 电子 、 办 公 打 印 设备 和 医疗 设备 等 领域 ,蓝牙 技 术 是 一 种 全 球 规 
范 ,并 且 是 开放 性 的 ,用 于 无 线 数据 和 语音 通信 ,实质 内 容 是 在 设备 间 通 过 建立 无 线 接口 
实现 近 距 离 的 .方便 安全 的 数据 信息 传输 和 语音 传输 。 

蓝牙 共有 6 个 版 本 ,目前 通用 的 是 2. 1 版 本 ,业内 正在 推动 3.0 版 本 新 规范 的 实施 ， 
设备 制造 商 也 开始 研究 对 应 蓝牙 版 本 的 解决 方案 。3. 0 新 版 本 传输 速度 很 快 ,包括 运用 
了 无 线 IEEE 802. 11 协议 ,可 以 传输 更 大 数据 量 的 内 容 信息 ,并 在 功 耗 方面 加 入 了 对 电 
源 耗 电量 的 控制 ,使 蓝牙 设备 的 功 耗 会 降 得 更 低 。 


4. 3G 系统 


第 三 代 移 动 通信 系统 (3G) ,是 相对 于 第 一 代 模 拟 制 式 手机 、 第 二 代 GSM 数字 手机 
以 及 第 2.5 代 GPRS 手机 而 言 ,将 无 线 网 络 和 多 媒体 技术 有 机 结合 的 新 一 代 系 统 , 可 以 
处 理 有 关 图 像 .视频 和 语音 等 媒体 信息 ,能 提供 高 速 数据 业务 。 

3G 主要 的 特点 是 能 够 实现 全 球 无 缝 漫游 ,是 可 以 在 全 球 范围 内 使 用 的 系统 。 支 持 
统一 标准 ,使 用 相同 频段 进行 通信 。 当 前 移动 通信 主要 是 语音 电话 业务 ,而 真正 把 多 媒 
体 和 高 速 传输 效率 服务 于 用 户 则 是 3G 系统 所 体现 出 的 特点 。 全 球 范 围 内 的 3G 标准 有 
WCDMA、CDMA2000 和 TD-SCDMA。 其 中 WCDMA 和 CDMA2000 是 已 经 比较 成 熟 
的 技术 标准 ,TD-SCDMA 是 我 国 具 有 自主 知识 产权 的 标准 ,特点 是 可 以 节约 频带 资源 ， 
升级 成 本 较 低 ,但 相对 WCDMA 和 CDMA2000 而 言 ,通信 质量 会 差 一 些 。 

3G 时 代 通 信 系统 更 加 关注 数据 信息 的 传输 速率 ,而 非 传 统 的 通话 质量 和 通信 网 络 
稳定 性 的 问题 。3G 移动 上 网 速度 基本 可 以 和 当前 移动 带宽 相当 , 相 比 于 2G 和 2.5G 时 
代 而 言 ,可 以 提供 更 丰富 的 视频 和 图 像 。 

3G 服务 通过 无 线 通信 和 互联 网 等 多 媒体 通信 结合 ,能 同时 传送 语音 和 数据 信息 。 
3G 手机 具有 移动 支付 、 手 机 银行 等 功能 ,手机 变 成 了 移动 电子 钱包 ,通过 话费 直接 可 以 
支付 ,不 需要 第 三 方 支付 平台 。 随 着 3G 上 网 资费 的 下 降 , 会 吸引 更 多 的 客户 参与 到 电子 
商务 活动 中 来 。 
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92 移动 电子 商务 面 炉 的 安全 威 及 


随 着 无 线 通信 技术 的 发 展 ,移动 电子 商务 的 条 件 日 益 成 熟 , 安 全 问题 作为 移动 电子 
商务 发 展 的 门槛 ,急需 得 到 解决 。 移 动 电子 商务 需要 在 移动 终端 和 有 线 网 络 中 进行 信息 
通信 ,这 使 得 整个 交易 过 程 承受 着 无 线 网 和 有 线 网 通信 中 的 双重 安全 风险 ,因此 要 求 移 
动 电子 商务 具有 特殊 的 安全 机 制 。 其 中 的 WAP 安全 机 制 是 开展 移动 电子 商务 的 典范 ， 
也 是 当前 绝 大 多 数 安全 移动 电子 商务 的 实现 基础 。 

移动 电子 商务 是 传统 电子 商务 和 无 线 互联 网 技术 的 结合 ,所 以 分 析 移 动 电子 商务 存 
在 的 安全 威胁 , 须 从 电子 商务 和 无 线 网 络 两 方面 存在 的 安全 问题 进行 分 析 。 另 外 ,移动 
商务 由 于 移动 终端 的 特殊 性 ,在 安全 上 与 普通 电子 商务 有 显著 的 不 同 。 例 如 ,移动 终端 
由 于 运行 环境 有 限 , 增 加 了 移动 电子 商务 安全 认证 的 困难 。 


921 无 线 网 络 面临 的 安全 威胁 


无 线 网 络 同样 面临 着 穷 听 假冒、 拒绝 服务 、 自 改 等 安全 威胁 ,但 其 危害 方式 和 危害 
的 后 果 与 有 线 网 络 相 比 有 其 自身 的 特点 。 


1. 窃听 


窃听 是 获取 非 加 密 网 络 信息 的 方式 ,这 种 方式 同样 可 以 (而 且 更 容易 ) 应 用 于 无 线 网 
络 ,攻击 者 使 用 具有 定向 功能 的 天 线 等 接收 装置 ,让 无 线 网 络 接口 对 准 接收 某 个 方向 的 
信号 ,就 可 以 很 容易 地 监听 无 线 局 域 网 。 

传统 的 有 线 网 络 是 利用 通信 电缆 作为 传播 介质 ,这 些 介质 大 部 分 处 于 地 下 或 室内 等 
相对 安全 的 场所 ,因此 中 间 的 传输 区 域 相对 是 受 控制 的 。 而 在 无 线 通 信 网 络 中 ,所 有 的 
通信 内 容 都 是 通过 无 线 信道 传送 的 ,无 线 信道 是 一 个 开放 性 信道 ,是 利用 无 线 电波 进行 
传播 的 ,在 空中 的 无 线 信号 很 容易 受到 拦截 并 被 解码 ,只 要 具有 适当 的 无 线 接收 设备 就 
可 以 很 容易 实现 无 线 监 听 , 而 且 很 难 被 发 现 。 

对 于 无 线 局 域 网 来 说 , 它 传输 的 通信 内 容 更 容易 被 窃听 ,因为 无 线 局 域 网 标准 工作 
在 全 球 统一 的 公开 的 频带 ,任何 个 人 和 组 织 都 可 以 利用 这 个 频带 进行 通信 。 而 且 , 很 多 
无 线 局 域 网 采用 广播 通信 方式 来 相互 通信 , 即 每 个 移动 站 发 送 的 通信 信息 其 他 移动 站 都 
可 以 接收 ,这 就 使 得 网 络 外 部 人 员 也 可 以 很 容易 地 接收 到 网 络 内 部 信息 。 

无 线 窃听 可 以 导致 信息 泄露 ,如 果 移 动用 户 的 身份 信息 和 位 置信 息 泄露 ,可 能 导致 
移动 用 户 被 无 线 跟踪 。 另 外 ,无 线 窃听 可 以 导致 其 他 一 些 攻击 ,如 数据 流 分 析 , 即 攻击 者 
可 能 并 不 知道 消息 的 真正 内 容 , 但 他 知道 这 个 消息 的 存在 ,并 知道 消息 的 发 送 方 和 接收 
方 地 址 ,从 而 可 以 根据 消息 传输 的 信息 分 析 通 信 目 的 ,并 可 以 猜测 通信 内 容 。 


2. 冒充 


在 无 线 网 络 中 ,移动 基站 与 网 络 控制 中 心 以 及 其 他 移动 基站 之 间 不 存在 固定 的 物理 
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连接 ,移动 基站 必须 通过 无 线 信道 传送 用 户 的 身份 信息 。 由 于 无 线 信道 信息 传送 过 程 可 
能 被 窃听 , 当 攻 击 者 截获 到 一 个 合法 用 户 的 身份 信息 时 ,就 可 以 冒充 合法 用 户 接 人 无 线 
网 络 ,访问 网 络 资源 或 者 使 用 一 些 收费 的 通信 服务 等 。 另 外 ,攻击 者 还 可 以 假冒 网 络 控 
制 中 心 ,冒充 网 络 端 基站 来 欺骗 移动 用 户 , 以 此 手段 获得 移动 用 户 的 身份 信息 ,从 而 冒充 
合法 的 移动 用 户 身份 。 

除了 冒充 移动 终端 外 ,移动 接 入 点 也 容易 被 冒充 ,这 就 是 欺诈 性 接 入 点 : 攻击 者 故意 
设置 WiFi 的 接 入 点 ,并 且 为 这 些 接 入 点 设置 一 个 假冒 的 具有 诱惑 性 的 名 称 ( 如 “中 国电 
信 ”) ,并 且 不 需要 密码 就 可 以 接 入 网 络 ,以 此 来 引诱 一 些 用 户 接 入 网 络 来 上 网 。 当 用 户 
接 入 这 些 无 线 接 入 点 后 ,就 和 攻击 者 的 电脑 处 于 同一 个 无 线 局 域 网 之 内 ,攻击 者 接 下 来 
可 以 很 容易 地 截获 用 户 在 网 络 中 传输 的 敏感 数据 信息 。 

所 谓 欺 诈 性 接 入 点 是 指 在 未 获得 无 线 网 络 所 有 者 的 许可 或 知晓 的 情况 下 就 设置 或 
存在 的 接 入 点 。 一 些 雇员 有 时 安装 欺诈 性 接 入 点 ,其 目的 是 为 了 避 开 公司 已 安装 的 安全 
手段 ,创建 隐蔽 的 无 线 网 络 。 这 种 秘密 网 络 虽然 基本 上 无 害 , 但 它 却 可 以 构造 出 一 个 无 
保护 措施 的 网 络 , 并 进而 充当 了 入 侵 者 进入 企业 网 络 的 开放 门户 。 

正如 在 有 线 网 络 中 一 样 ,支持 和 监视 通过 无 线 网 络 的 网 络 通信 和 是 完全 可 能 的 。 它 包 
括 两 种 情况 ,一 是 无 线 数据 包 分 析 , 即 熟练 的 攻击 者 用 类 似 于 有 线 网 络 的 技术 捕获 无 线 
通信 。 其 中 有 许多 工具 可 以 捕获 连接 会 话 的 最 初 部 分 ,而 其 数据 一 般 会 包含 用 户 名 和 口 
令 。 攻击 者 然后 就 可 以 用 所 捕获 的 信息 来 冒充 一 个 合法 用 户 ,并 支持 用 户 会 话 和 执行 一 
些 非 授权 的 命令 等 。 第 二 种 情况 是 广播 包 监 视 , 这 种 监视 依赖 于 集线器 ,所 以 很 少见 。 

可 见 ,对 于 无 线 网 络 来 说 , 接 入 点 、 无 线 终端 \ 服 务 器 都 很 可 能 被 假冒 ,因此 ,无 线 网 
络 中 一 般 要 求 双 向 身份 认证 。 


3. 拒绝 服务 攻击 


拒绝 服务 攻击 (DoS) 是 使 无 线 通信 网 络 或 服务 器 丧失 服务 功能 和 资源 能 力 的 一 种 攻 
击 行为 ,由 于 无 线 网 络 现 有 的 带宽 非常 有 限 , DoS 对 无 线 网 络 带 来 的 破坏 性 远 比 对 
Internet 大 ,而 且 无 线 网 络 对 终端 接 入 的 管理 也 比较 困难 ,因此 无 线 通信 网 络 更 容易 遭受 
拒绝 服务 攻击 。 

4. 访问 控制 面临 的 威胁 

无 线 网 络 一 般 使 用 MAC 地 址 访问 控制 表 进 行 访问 控制 ,在 理论 上 ,访问 控制 表 能 提 
供 一 个 合理 的 安全 等 级 。 然 而 ,实际 上 并 不 能 达到 目的 。 其 中 有 两 个 原因 : 其 一 是 MAC 
地 址 在 无 线 网 络 中 很 容易 就 会 被 攻击 者 嗅 探 到 ,这 是 因为 即使 激活 了 WEP,MAC 地 址 
也 必须 暴露 在 外 ;其 二 是 大 多 数 的 无 线 网 卡 都 可 以 使 用 软件 来 改变 它 的 MAC 地 址 , 因 
此 ,攻击 者 可 以 窃听 到 有 效 的 MAC 地 址 ,然后 进行 编程 将 有 效 地 址 写 到 无 线 网 卡 中 ,从 
而 伪装 成 一 个 有 效 MAC 地 址 ,越过 访问 控制 ,连接 到 “ 受 保护 ”的 网 络 上 。 


5. 重 放 攻 击 
所 谓 重 放 攻 击 是 指 攻 击 者 将 窃听 得 到 的 有 效 信息 经 过 一 段 时 间 后 再 传 给 信息 接收 
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者 ,目的 是 企图 利用 曾经 有 效 的 信息 在 改变 了 的 情形 下 达到 同样 的 目的 。 例 如 ,攻击 者 
利用 截获 的 合法 用 户口 令 来 获得 网 络 控制 中 心 的 授权 ,从 而 访问 网 络 资源 。 


6. 插入 和 修改 数据 


攻击 者 支持 了 正常 的 通信 连接 后 ,可 能 在 原来 的 数据 上 进行 修改 或 者 恶意 地 插入 一 
些 数据 和 命令 ,还 可 以 造成 拒绝 服务 。 攻 击 者 可 以 利用 虚假 的 连接 信息 使 得 接 入 点 或 基 
站 误 以 为 已 达到 连接 上 限 , 从 而 拒绝 合法 用 户 的 正常 访问 请 求 。 

攻击 者 还 可 能 会 伪装 成 网 络 实体 ,拦截 客户 端 发 起 的 连接 并 完成 代理 通信 ,这 时 , 攻 
击 者 可 以 在 客户 端 和 网 络 资源 中 间 任 意 地 插入 和 修改 数据 ,破坏 正常 的 通信 。 


7. 无 线 网 络 标准 的 缺陷 


移动 电子 商务 涉及 很 多 无 线 网 络 标准 ,其 中 使 用 比较 广泛 的 是 实现 无 线 手 机 访问 
Internet 的 WAP 标准 和 构建 无 线 局 域 网 (WLAN) 的 IEEE 802.11 标准 。 在 WAP 安全 
体系 中 ,WTLS 协议 仅仅 加 密 由 WAP 设备 到 WAP 网 关 的 数据 ;从 WAP 网 关 到 内 容 服 
务 器 时 ,信息 是 通过 标准 SSL 传送 的 。 因 为 数据 要 由 WTLS 转换 到 SSL, 所 以 数据 在 
WAP 网 关上 有 短暂 的 时 间 处 于 明文 状态 ,其 安全 漏洞 给 移动 电子 商务 的 使 用 带 来 了 很 
大 的 安全 隐患 。 

IEEE 802. 11 无 线 局 域 网 的 安全 问题 主要 包括 以 下 几 个 : 

(1) IEEE 802. 11 标准 使 用 的 WEP( 有 线 等 效 加 密 ) 安 全 机 制 存在 缺陷 , 公 钥 容易 泄 
露 且 难以 管理 ,容易 造成 数据 被 拦截 和 窃取 。 

(2) WLAN 的 设备 容易 被 黑客 所 控制 和 盗用 来 向 网 络 传送 有 害 的 数据 。 

(3) 网 络 操作 容易 受到 堵塞 传输 通道 的 拒绝 服务 攻击 。 

(4) 许多 WLAN 在 跨越 不 同 子 网 的 时 候 往 往 不 进行 第 二 次 的 登录 认证 检查 。 


922 移动 终端 面临 的 安全 威胁 
移动 终端 的 安全 问题 包括 终端 被 盗用 、 终 端 加 密 能 力 弱 和 手机 病毒 威胁 等 方面 。 
1. 终端 被 盗用 


由 于 移动 终端 体积 小 ` 轻 便 , 因 此 容易 遗失 和 被 盗 ,或 被 非 授权 使 用 。 盗 用 者 利用 偷 
来 的 移动 终端 可 以 冒充 合法 用 户 的 身份 ,窃取 终端 内 储存 的 机 密 信息 ,还 可 利用 终端 上 
合法 的 SIM 卡 来 访问 已 开通 的 系统 服务 ,终端 内 的 数据 和 SIM 卡 中 的 数据 也 可 能 被 破 


2. 终端 弱 加 密 能 力 


移动 终端 出 于 移动 应 用 便捷 性 的 考虑 ,其 体积 和 功率 都 较 小 ,导致 其 运算 能 力 和 存 
储 能 力 相 对 较 弱 。 加 上 无 线 网 络 带 宽 小 ,容易 丢失 数据 ,所 以 无 法 运行 太 复杂 的 加 密 算 
法 ,造成 了 数据 保密 系数 低 ,也 无 法 传输 大 量 的 数据 。 
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3. 病毒 和 黑客 威胁 


国内 关于 手机 病毒 事件 的 报道 层出不穷 。 例 如 ,新华 网 哈尔滨 专电 发 布 了 一 则 有 关 
手机 中 毒 的 报道 ,受害 人 是 黑龙 江 某 大 学 的 学 生 , 据 他 描述 : 前 些 天 他 通过 WAP 上 网 下 
载 了 彩铃 ,但 是 收 到 的 回复 却 是 一 条 不 明 号 码 发 来 的 彩信 ,当时 也 没 多 想 就 打开 运行 了 ， 
结果 手机 开始 死机 ,重启 后 运行 速度 也 明显 降低 。 而 他 随后 便 收 到 一 些 定制 各 种 服务 的 
确认 短信 ,更 加 奇怪 的 是 ,手机 竞 然 自动 地 向 外 发 送信 息 。 后 来 经 服务 人 员 分 析 , 手 机 一 
旦 中 了 这 种 病毒 ,不 仅 会 自动 发 送 定制 信息 到 增值 业务 运营 商 , 还 会 将 病毒 以 彩信 或 短 
信 的 形式 向 手机 通讯 录 中 的 电话 号 码 群 发 ,造成 更 大 范围 的 影响 。 目 前 还 没有 专 杀 这 种 
病毒 的 软件 ,因此 解决 办 法 只 能 是 重 装 手机 的 操作 系统 。 

手机 病毒 也 是 一 种 计算 机 病毒 ,只 不 过 它 以 手机 为 主要 感染 对 象 ,以 移动 网 络 或 计 
算 机 网 络 为 传播 平台 。 通 过 病毒 彩信 等 形式 对 手机 进行 攻击 ,从 而 造成 手机 异常 的 一 种 
新 型 病毒 。 手 机 病毒 具有 类 似 计算 机 病毒 的 如 下 特点 : 

(1) 手机 病毒 也 是 由 计算 机 程序 编写 而 成 的 。 

(2) 手机 病毒 同样 具有 传播 和 感染 功能 ,可 以 利用 发 送 彩 信 、 上 网 浏览 下 载 软件 、 铃 
声 等 方式 实现 网 络 到 手机 的 传播 ,或 者 在 手机 之 间 传 播 。 

(3) 手机 病毒 同样 具有 和 危害 后 果 。 包 括 删除 手机 存储 资料 ,向 外 发 送 垃圾 邮件 .自动 
拨打 某 个 电话 号 码 等 ,由 于 病毒 占用 大 量 系统 资源 ,还 会 导致 手机 出 现 死机 、 自 动 重启 等 
现象 。 

手机 病毒 有 以 下 3 种 攻击 方式 : 

(1) 直接 攻击 手机 本 身 , 使 手机 无 法 正常 工作 。 这 种 手机 病毒 是 最 初 的 形式 ,也 是 目 
前 手机 病毒 最 主要 的 攻击 手段 ,主要 以 “病毒 短信 ”的 方式 攻击 手机 。 

(2) 攻击 WAP 服务 器 ,使 WAP 手机 无 法 接收 正常 信息 。WAP 的 目的 是 使 移动 终 
端 可 以 方便 地 接 入 Internet, 完 成 一 些 网 络 浏 览 、 下 载 等 功能 。 而 手机 的 WAP 功能 需要 
专门 的 WAP 服务 器 来 提供 服务 ,一旦 攻击 者 发 现 WAP 服务 器 的 安全 漏洞 ,并 对 其 进行 
攻击 ,WAP 服务 器 将 无 法 向 WAP 手机 提供 服务 。 

(3) 攻击 和 控制 WAP 网 关 , 向 手机 发 送 垃圾 信息 。 网 关 是 无 线 网 络 和 有 线 网 络 之 
间 的 联系 纽带 ,利用 网 关 漏 洞 同 样 可 以 对 整个 移动 网 络 造成 影响 ,使 WAP 手机 不 能 获得 
服务 。 

病毒 不 但 可 以 影响 移动 终端 ,甚至 可 以 影响 无 线 网 络 。 虽 然 目 前 发 现 的 手机 病毒 还 
不 足以 对 移动 电子 商务 造成 本 质 的 损害 ,但 随 着 移动 终端 功能 的 完善 ,病毒 对 移动 安全 
的 影响 将 会 加 剧 ,同时 ,蠕虫 对 无 线 网 络 的 可 用 性 也 会 产生 破坏 。 

首先 ,携带 病毒 的 移动 终端 不 仅 可 以 感染 无 线 网 络 ,还 可 以 感染 固定 网 络 , 由 于 无 线 
用 户 之 间 交 互 的 频率 很 高 ,病毒 可 以 通过 无 线 网 络 迅 速 传播 ,再 加 上 有 些 跨 平台 的 病毒 
可 以 通过 固定 网 络 传播 ,这 样 传播 的 速度 就 会 进一步 加 快 。 其 次 ,移动 终端 的 运算 能 力 
有 限 ,PC 上 的 杀毒 软件 很 难 在 移动 终端 上 使 用 ,而 且 很 多 无 线 网 络 都 没有 相应 的 防毒 措 
施 。 另 外 ,移动 设备 的 多 样 化 以 及 使 用 软件 平台 的 多 样 化 ,使 其 病毒 感染 的 方式 也 随 之 
多 样 化 ,这 给 采取 防范 措施 带 来 很 大 的 困难 。 
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923 移动 商务 管理 面临 的 安全 威胁 


移动 电子 商务 的 安全 也 需要 依靠 技术 与 管理 的 紧密 结合 来 保障 ,在 管理 上 面临 的 安 
全 问题 主要 有 以 下 几 个 。 


1. 手机 号 码 实 名 制 还 没有 完全 执行 


由 于 手机 号 码 实名 制 尚未 正式 实施 ,给 一 些 不 法 人 员 提 供 了 可 乘 之 机 ,他 们 通过 购 
买 不 记名 的 手机 卡 发 送 一 些 欺诈 短信 或 彩信 ,诱骗 用 户 上 当 。 


2. 服务 提供 商 的 安全 管理 问题 


服务 提供 商 通过 移动 运营 商 提 供 的 增值 接口 ,可 以 使 用 短信 、 彩 信 、 无 线 应 用 协议 
(WAP) 等 方式 为 手机 用 户 发 送 产 品 广告 ,提供 各 种 移动 增值 服务 。 由 于 服务 提供 商 与 移 
动 运营 商 之 间 是 合作 关系 ,因此 移动 运营 商 很 难 充当 监督 管理 的 角色 ,部 分 不 法 服务 提 
供 商 受 利益 驱动 ,利用 手机 的 上 网 功能 向 用 户 发 送 虚假 信息 和 广告 ,或 者 自动 为 用 户 开 
通 某 种 包月 服务 ,以 此 骗取 信息 费 。 


3. 移动 信息 安全 管理 的 标准 化 问题 


目前 移动 电子 商务 产业 刚刚 起 步 ,这 个 领域 还 没有 国际 标准 ,我 国 也 没有 自己 的 国 
家 标准 和 统一 管理 机 构 。 设 备 厂商 在 无 线 局 域 网 设备 安全 性 能 的 实现 方式 上 各 行 其 道 ， 
使 得 移动 用 户 既 不 能 获得 真正 等 效 于 有 线 互 联网 的 安全 保证 ,也 难以 在 保证 通信 安全 的 
基础 上 实现 互通 互联 和 信息 共享 。 由 于 没有 安全 标准 的 评测 依据 ,又 缺乏 有 关 信 息 安 全 
的 管理 法 规 , 主 管 部 门 很 难 对 信息 安全 标准 做 出 规范 要 求 , 这 也 给 移动 电子 商务 信息 安 
全 的 审查 和 管理 工作 带 来 了 很 大 困难 。 


4. 口令 攻击 与 协议 安全 


移动 终端 由 于 输入 没有 PC 方便 ,用 户 往往 倾向 于 设置 更 简单 的 口令 ,同时 无 线 网 络 
为 了 减少 系统 开销 ,使 用 的 安全 协议 也 比较 简单 ,而 过 于 简单 的 口令 和 不 完善 的 安全 协 
议 都 会 给 攻击 者 提供 便利 ,这 些 系 统 的 脆弱 性 容易 导致 系统 被 攻破 。 

总 的 来 看 ,政府 要 在 管理 上 保障 移动 电子 商务 安全 ,就 应 加 强 对 于 移动 服务 市 场 的 
安全 监管 工作 ,对 于 利用 手机 等 移动 终端 设备 进行 通信 的 用 户 要 进行 实名 身份 认证 。 运 
营 商 对 于 用 户 注册 信息 需 做 好 保密 工作 ,不 得 利用 用 户 信息 进行 其 他 用 途 。 一 个 成 熟 的 
商务 系统 安全 方案 包含 很 多 专业 领域 内 容 , 需 要 各 方面 通力 合作 ,需要 制定 并 执行 信息 
系统 安全 管理 制度 ,政府 和 安全 机 构 需 做 好 安全 监督 和 审查 工作 。 


93 移动 电子 商务 的 安全 需求 


通过 分 析 移 动 电子 商 务 各 方面 存在 的 安全 威胁 , 便 可 看 出 安全 需求 对 于 移动 商务 的 
重要 性 。 基 于 移动 电子 商务 自身 的 特点 ,移动 电子 商务 安全 主要 要 考虑 以 下 安全 需求 。 
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1. 双向 身份 认证 


双向 身份 认证 指 移动 终端 与 移动 通信 网 络 之 间 相 互 认 证 身份 ,这 是 在 移动 通信 中 被 
普遍 认同 的 一 个 安全 需求 ,但 是 在 第 二 代 移 动 通信 系统 中 却 存 在 很 多 安全 问题 ,其 中 之 
一 就 是 缺少 用 户 对 移动 网 络 的 身份 认证 ,导致 "中 间 人 攻击 ”等 威胁 的 存在 。 


2. 密 钥 协商 与 双向 密 钥 控制 


密 钥 协商 与 双向 密 钥 控制 指 移动 用 户 与 移动 网 络 之 间 通 过 安全 参数 协商 确定 会 话 
密 钥 ,而 不 能 由 一 方 单独 确定 ,并 保证 一 次 一 密 。 这 一 方面 是 为 了 防止 由 于 一 个 旧 的 会 
话 密 钥 泄露 而 导致 的 重 放 攻 击 , 另 一 方面 也 是 为 了 防止 由 一 方 指定 一 个 特定 的 会 话 密 钥 
而 带 来 的 安全 隐患 (如 假冒 者 自己 产生 会 话 密 钥 就 可 进行 中 间 人 攻击 ) 。 


3. 双向 密 钥 确认 


移动 用 户 与 移动 网 络 系统 要 进行 相互 确认 ,确保 对 方 和 自己 拥有 相同 的 会 话 密 钥 ， 
以 保证 接 下 来 的 会 话 中 经 过 自己 加 密 的 信息 在 被 对 方 接收 后 能 够 正确 进行 解密 。 


4. 能 够 检测 到 DoS 攻击 和 重 放 攻击 


保证 信息 的 接收 方 能 识别 出 信息 的 发 送 状态 ,确定 是 否 是 信息 重 放 。 识 别 出 信 息 重 
放 是 否 由 于 人 为 的 恶意 攻击 而 造成 ,以 及 判断 出 是 否 存在 拒 服 务 攻击 ,并 进行 抵御 。 


5. 较 高 的 容错 能 力 和 较 低 的 资源 消耗 


当 无 线 网 络 中 的 通信 线路 或 者 网 关 和 服务 器 出 现 故障 时 ,安全 机 制 不 会 因此 而 失 
效 , 即 系统 安全 性 不 依赖 于 网 络 的 可 靠 性 。 而 同时 系统 的 资源 消耗 不 会 因为 系统 安全 性 
的 增强 而 大 大 增加 ,应 尽量 减少 安全 机 制 所 带 来 的 系统 资源 开销 。 


6. 容错 能 力 


信息 在 网 络 中 传输 ,设备 和 线路 经 常会 发 生 故 障 ,要 保证 在 故障 产生 时 系统 不 会 长 
时 间 出 于 停滞 状态 ,要 有 备用 方案 去 处 理 ,还 要 保证 更 新 系统 时 对 于 原 有 软 硬 件 的 兼容 
能 力 。 


7. 经 济 性 


移动 商务 系统 对 于 安全 的 经 济 性 也 得 适当 考虑 ,希望 在 增强 系统 安全 性 的 同时 ,能 
够 尽量 降低 所 花费 用 ,合理 的 加 密 技 术 是 增强 安全 的 最 有 力 措施 ,目前 已 有 不 少 加 密 算 
法 可 以 实现 的 安全 方案 ,要 从 算法 的 可 实践 性 上 来 适当 选择 。 

综 上 ,移动 电子 商务 由 于 是 通过 无 线 接 人 Internet, 与 传统 电子 商务 通过 有 线 网 络 传 
输 相 比 ,安全 性 降低 。 移 动 商务 系统 要 实现 安全 解决 方案 应 从 终端 .无 线 传 输 网 络 以 及 
网 络 服务 系统 3 部 分 共同 实现 。 无 线 网 络 是 信息 传输 的 通路 .需要 保证 传输 安全 ,终端 
设备 和 服务 器 系统 要 有 较 强 的 业务 处 理 和 纠 错 兼 容 能 力 。 


94 移动 电子 商务 安全 技术 


移动 电子 商务 是 以 WAP 协议 为 基础 平台 的 ,在 WAP 平台 上 的 安全 技术 主要 有 无 
线 公 钥 基础 设施 (WPKD 和 WTLS 协议 。 除 此 之 外 ,无 线 局 域 网 的 安全 技术 也 是 移动 电 
子 商务 安全 技术 的 一 部 分 。 


941 无 线 公 钥 基 础 设施 (WPK) 


无 线 公 钥 基 础 设施 (WPKI) 是 将 Internet 中 的 PKI 安全 机 制 引 入 到 无 线 网 络 环境 中 
的 一 套 遵循 既定 标准 的 密 钥 及 证 书 管理 平台 体系 ,用 它 来 管理 在 移动 网 络 环境 中 使 用 的 
公开 密 钥 和 数字 证 书 , WPKI 能 有 效 建立 安全 和 值得 信赖 的 无 线 网 络 环境 ,主要 功能 是 
为 基于 移动 网 络 的 各 类 移动 终端 用 户 以 及 移动 数据 服务 提供 商 的 业务 系统 提供 基于 
WPKI 体系 的 各 种 安全 服务 ,如 认证 ,加 密 、 完 整 性 保证 等 。 

WPKI 并 不 是 一 个 全 新 的 PKI 标准 ,而 是 传统 的 PKI 技术 应 用 于 无 线 网 络 环境 的 优 
化 扩展 。WPKI 协议 的 主要 特点 有 : 引入 新 的 压缩 证 书 格式 (WTLS 证 书 ) ,减少 证 书 数 
据 量 ;引入 椭圆 曲线 密码 算法 ,减少 密 钥 长 度 ;引入 证 书 URL ,移动 终端 可 只 存储 证 书 的 
URL ,而 非 证 书本 身 , 减 少 了 对 存储 量 的 需求 。WPKI 同样 采用 证 书 管理 公 钥 , 通 过 第 三 
方 可 信和 机 构 CA 来 验证 用 户 的 身份 ,从 而 实现 认证 和 信息 的 安全 传输 。 


1，WPKI 的 体系 结构 


WPKI 在 体系 结构 上 和 PKI 有 明显 区 别 , 表 现在 : RA 由 PKI 门户 (PKI Portal) 代 
替 , 来 完成 类 似 的 功能 , 即 PKI 门户 可 看 成 是 WPKI 的 RA。 终端 实体 是 WAP 手机 等 移 
动 设备 ,而 WAP 网 关 则 是 新 增 的 用 于 连接 无 线 网 络 和 有 线 网 络 的 接口 。WPKI 的 系统 
架构 如 图 9.4 所 示 。 


无 线 网 络 有 线 网 络 
移动 终端 上:---- 引 | WAP 网 关 
PK 门户 |- 一 一 | ”CA 一 -| 证 书 数据 库 


图 9.4 WPKI 的 系统 架构 


与 PKI 系统 的 组 成 方式 类 似 , WPKI 也 是 由 终端 实体 、CA 认证 中 心 、PKI 门户 
(RA) .证 书目 录 数 据 库 等 几 个 重要 部 分 组 成 的 。WPKI 中 ,RA 的 建立 和 在 客户 端 和 服 
务 器 端 实现 的 具体 应 用 与 传统 PKI 不 太 相同 ,需要 一 个 全 新 的 组 件 一 一 PKI 门户 。 

1) CA 认证 中 心 

WPKI 的 CA 功能 与 传统 的 CA 相似 ,主要 负责 生成 签名 ,颁发 证 书 、 更 新 证 书 、 密 钥 
恢复 ,注销 证 书 、 随 时 更 新 证 书 撤销 列表 的 内 容 并 及 时 向 外 发 布 等 ,是 WPKI 体系 中 最 基 
础 的 组 成 部 分 。 在 构建 WPKI 体系 时 ,其 CA 需要 根据 无 线 应 用 环境 做 出 适当 的 调整 ， 
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具体 表现 在 以 下 两 点 : 

(1) 无 线 网 络 的 带宽 较 低 ,移动 终端 的 处 理 能 力也 较 低 ,这 就 意味 着 WPKI 的 CA 证 
书 格式 不 能 太 长 . 太 复 杂 , 所 以 WPKI 的 证 书 一 般 使 用 WTLS 格式 。 同 时 ,还 必须 可 以 
签发 X. 509 V3 格式 的 证 书 , 以 便 对 有 线 网 络 中 的 服务 器 等 实体 进行 认证 。 

(2) 鉴于 无 线 网 络 和 移动 终端 的 局 限 性 ,用 户 在 查询 证 书 状态 时 ,需要 一 种 更 简洁 有 
效 的 查询 方式 ,而 不 能 像 传 统 PKI 一 样 ,需要 下 载 整个 证 书 撤销 列表 (CRL) 。 

2) PKI 门户 

与 传统 PKI 不 同 ,WPKI 的 RA 需要 使 用 PKI 门户 来 实现 。PKI 门户 可 以 为 WAP 
客户 端 发 送 证 书 申请 等 请 求 给 PKI 中 的 CA ,也 可 以 提供 移动 终端 访问 有 线 网 络 资源 的 
途径 。 可 见 PKI 门户 融合 了 RA 和 WAP 网 关 的 功能 ,可 以 看 作 是 移动 终端 和 现 有 PKI 
之 间 的 连接 桥梁 , 它 是 运行 在 有 线 网 络 上 的 服务 器 ,实现 了 对 用 户 注 册 信 息 的 管理 。 

3) 证 书目 录 数 据 库 

证 书目 录 数 据 库 主要 用 来 提供 下 载 证 书 、 查 询 证 书 、 储 存 证 书 等 工作 ,并 提供 证 书 查 
询 .证 书 下 载 的 对 外 接口 。 目 录 服 务 器 采用 主 从 结构 , 主 目录 服务 器 和 证 书签 发 服务 器 
放 在 一 起 ,从 目录 服务 器 和 证 书 发 布 系统 一 起 向 外 发 布 ,发 布 系统 可 以 提供 证 书 的 查询 、 
证 书 的 下 载 。 还 可 提供 CRL 的 访问 和 下 载 。 

4) 密 钥 管理 中 心 (KMC) 

密 钥 管理 中 心 主要 提供 密 钥 对 的 生成 .备份 和 司法 恢复 。 在 PKI 体系 中 ,对 于 服务 
器 的 WTLS 格式 的 证 书 , 其 密 钥 对 可 以 由 KMC 来 生成 。KMC 负责 对 应 用 服务 器 和 
WAP 网 关 的 公 钥 的 存储 ,以 便 其 后 进行 公 钥 的 恢复 。 但 是 对 于 签名 私 钥 ,KMC 必须 销 
毁 , 用 以 保证 用 户 签名 的 唯一 性 。 

5) WAP 网 关 

WAP 网 关 主 要 实现 无 线 接 入 的 功能 。 一 方面 要 实现 WAP 协议 堆栈 到 WWW 协议 
堆栈 的 转化 , 即 把 数据 流 由 WAP 协议 格式 转化 成 HTTP 协议 格式 。 另 一 方面 还 要 能 实 
现 传 输 内 容 格式 上 的 转化 ,例如 WML 语言 到 HTML 语言 ,然后 将 转化 结束 的 数据 流 交 
给 WAP 服务 器 ,或 者 把 WAP 服务 器 应 答 的 信息 ,编码 成 WAP 手机 可 以 识别 的 紧凑 的 
二 进 制 格式 ,再 传递 给 WAP 手机 。 

6) 移动 终端 

移动 终端 是 指 可 以 访问 无 线 网 络 的 手持 移动 设备 (如 PDA、 智 能 手机 等 )。 它 包含 
WIM 卡 。WIM 卡 具 有 自己 的 处 理 器 ,可 以 在 卡 上 的 芯片 中 实现 加 解密 算法 和 散 列 功 
能 ,目的 是 将 安全 功能 从 手机 转移 到 防 算 改 的 设备 中 来 ,这 种 设备 可 以 是 智能 卡 或 者 
SIM 卡 。 移 动 终端 除了 具有 传统 PKI 的 功能 外 , 它 还 依赖 WMLSCrypt (WML Script 
Crypto API) 提 供 的 密 钥 服务 和 加 密 操 作 。 在 进行 WPKI 应 用 时 ,CA 根 证 书 . 个 人 数字 
证 书 (证 书 URL) 等 重要 信息 都 是 存放 在 SIM 卡 或 WIM 卡 中 的 ,移动 终端 需要 根据 这 些 
信息 完成 数字 签名 服务 。 另 外 ,移动 终端 还 要 能 运行 必需 的 应 用 程序 并 且 能 进行 简单 的 
加 解密 等 运算 。 

提示 : 在 传统 的 PKI 中 ,所 签发 的 数字 证 书 存 放 在 硬盘 或 智能 卡 中 。 另 外 ,智能 卡 
还 可 自己 产生 密 钥 对 ,提交 给 认证 中 心 签 发 对 应 的 数字 证 书 ; 并 且 可 很 好 地 保证 私 钥 的 
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安全 ,在 私 钥 不 出 卡 的 情况 下 完成 解密 和 签名 服务 。 智 能 卡 还 可 实现 证 书 与 用 户 的 绑 
定 ，, 而 不 是 证 书 和 应 用 终端 的 绑 定 。 

在 WPKI 中 也 需要 这 样 一 种 设备 实现 上 述 功能 。WIM(Wireless Identify Module) 
是 无 线 应 用 协议 中 一 个 独立 的 安全 应 用 模块 。 它 可 以 同时 应 用 于 应 用 层 和 安全 层 , 主 要 
用 于 增强 应 用 层 和 安全 层 的 某 些 安全 特性 ,用 于 存储 用 户 身份 识别 和 认证 的 信息 。WIM 
在 移动 设备 终端 中 常 以 SIM 卡 的 形式 出 现 ,WIM 可 实现 以 下 功能 : 

(1) 保证 私 钥 的 安全 和 唯一 性 。 移 动 终端 使 用 WIM 卡 产生 公私 密 钥 对 ,将 公 铀 发 
送 给 认证 中 心 签 发 证 书 , 私 钥 自身 安全 保存 。 这 就 加 免 了 多 个 私 钥 的 备份 ,保证 私 钥 的 
唯一 性 。 

(2) 保证 证 书 和 证 书 用 户 的 对 应 性 ,实现 证 书 与 用 户 绑 定 , 而 不 是 与 移动 设备 绑 定 。 

7) 移动 终端 应 用 程序 

移动 终端 应 用 程序 是 为 适应 无 线 网 络 环境 而 特别 优化 的 应 用 程序 ,主要 用 来 运行 
WPKI 提供 的 各 种 功能 ,如 生成 并 提交 申请 证 书 请 求 、 生 成 更 新 证 书 请 求 、 生 成 撤销 证 书 
请 求 . 生 成 签名 、 验 证 签名 ,简单 的 加 解密 运算 等 。 

8) 内 容 服 务 器 

内 容 服务 器 向 用 户 提供 内 容 服务 ,如 CA 的 网 站 服务 器 。 它 可 用 来 提供 移动 终端 需 
要 下 载 的 终端 应 用 程序 .CA 根 证 书 和 公布 WPKI 体系 的 相关 政策 法规。 移动 终端 下 载 
移动 终端 程序 可 以 有 两 种 方式 : 四 移动 终端 通过 WAP 网 关 直接 无 线 下载 ; 加 通过 本 地 
有 线 网 络 将 移动 终端 应 用 程序 下 载 到 PC ,再 通过 数据 线 导 入 到 移动 终端 设备 中 。 


2. WPKI 的 工作 过 程 


WPKI 的 工作 过 程 如 图 9. 5 所 示 , 它 又 可 分 为 注册 过 程 和 安全 通信 和 (交易) 过程 两 个 
阶段 。 


(DRA 验证 证 书 请 求 


并 转发 给 CA 
中 终端 用 户 
申请 证 书 


(RA 创建 证 书 
URL 并 转发 给 用 户 


使 用 SSL 建 立 安全 会 i 
人 使 用 WTLS 
安全 会 话 


图 9.5 WPKI 体系 结构 的 工作 过 程 


磺 崇 坊 痪 一 峰 吕 亿 


人 @@ 服 务 器 获得 证 
书 和 证 书 撤销 信息 


WPKI 的 注册 过 程 的 主要 步骤 如 下 : 

(1) 终端 用 户 通过 移动 终端 向 PKI 门户 递交 证 书 申请 请 求 。 

(2) PKI 门户 对 用 户 的 申请 进行 审查 ,审查 合格 则 将 申请 转发 给 CA。 
(3) CA 为 用 户 生 成 一 对 公私 钥 并 制作 证 书 , 将 证 书 交 给 PKI 门户 。 
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(4) CA 同时 将 证 书 存储 到 目录 服务 器 中 , 供 有 线 网 络 服务 器 查询 证 书 。 

(5) PKI 门户 保存 用 户 的 证 书 , 针 对 每 一 份 证 书 产生 一 个 证 书 URL ,将 该 URL 发 送 
给 移动 终端 。 这 个 证 书 URL 就 是 证 书 在 证 书目 录 服 务 器 中 的 地 址 。 

接 下 来 ,移动 终端 就 可 与 电子 商务 服务 器 进行 安全 通信 (交易 ) 了 。WPKI 的 安全 通 
信 过 程 步骤 如 下 : 

(6) 内 容 服务 器 (比如 移动 电子 商务 服务 器 ) 从 PKI 目录 服务 器 中 下 载 证 书 及 证 书 
撤销 信息 备用 。 

(7) 移动 终端 和 WAP 网 关 利用 CA 颁发 的 证 书 建立 安全 WTLS 连接 。 

(8) WAP 网 关 与 内 容 服务 器 进行 安全 的 SSL/TLS 连接 。 

(9) 移动 终端 和 内 容 服 务 器 实现 安全 信息 传送 。 如 果 服 务 器 需要 用 户 的 证 书 验证 用 
户 签名 ,那么 用 户 将 证 书 URL 告诉 服务 器 ,服务 器 根据 这 个 URL ,自己 到 网 络 上 下 载 用 
户 证 书 。 如 果 用 户 需要 服务 器 的 证 书 验 证 服务 器 的 签名 ,那么 服务 器 将 证 书 通过 无 线 网 
络 下 载 , 存 储 到 用 户 的 移动 终端 中 。 


942 WPK 与 PN 的 技术 对 比 


WPKI 是 为 了 适应 无 线 环 境 而 对 传统 PKI 技术 的 优化 。 两 者 的 实现 原理 和 业务 流 
程 基 本 一 致 ,它们 的 区 别 来 源 于 WAP 终端 处 理 能 力 弱 , 以 及 无 线 网 络 传输 带宽 有 限 等 问 
题 ,为 此 WPKI 必 须 采 用 更 简洁 高 效 的 协议 和 技术 。 表 9. 2 将 WPKI 与 PKI 进行 了 
比较 。 


表 9.2 WPKI 与 PKI 的 比较 


技 术 WPKI PKI 
应 用 环境 无 线 网 络 有 线 网 络 
证 书 WTLS 证 书 /X. 509 证 书 X. 509 证 书 
密码 算法 ECC( 椭 圆 曲 线 密码 ) 算 法 RSA 
安全 连接 协议 WTLS SSL/TLS 
证 书 撤销 短 时 证 书 CRL、OCSP 等 协议 
本 地 证 书 保存 证 书 URL 证 书 
CA 交叉 认证 不 支持 支持 
弹性 CA 不 支持 支持 
1. 证 书 格式 优化 


WPKI 证 书 格式 就 是 要 使 公 钥 证 书 尽量 少 地 占用 存储 空间 。 传 统 PKI 采用 的 证 书 
标准 是 X. 509 格式 ,这 样 的 证 书 代码 最 大 可 能 多 达 10KB, 在 移动 设备 的 有 限 空间 中 难以 
存放 。 如 何 安 全 便捷 地 交换 用 户 数字 证 书 , 是 WPKI 必须 解决 的 问题 ,在 WPKI 机 制 下 
使 用 WTLS 证 书 , 它 的 功能 与 X. 509 证 书 相 同 ,但 更 小 、 更 简化 ,以 利于 在 资源 受 限 的 移 
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动 终端 中 处 理 ,而 且 WTLS 证 书 格式 是 X. 509 证 书 格式 的 子 集 ,所 以 可 以 在 标准 PKI 中 
保持 互 操 作 性 。 表 9. 3 对 比 了 两 种 证 书 。 


表 9.3 X.509 证 书 与 WTLS 证 书 的 格式 比较 
证 书 名 称 X. 509 WILS 


版 本 (Version) 


by 
by 


序列 号 (Serial Number) 


算法 标识 (Algorithm Identifier) 


签发 者 名 称 (Name of Issuer) 


有 效 期 (Period of Validity) 


所 有 者 (Subject) 


所 有 者 的 公 钥 (Subject's Public Key) 


发 行者 ID(Issuer ID) 


所 有 者 ID(Subject ID) 


发 行者 的 签名 (Issuer's Signature) 


签名 算法 标识 (Signature Algorithm) 


人 | 计 | 半 | 六 | 莉 | 济 | 放 | 革 | 计 | 讲 | 计 


扩展 (Extensions) 


从 表 中 可 以 看 出 ,WTLS 舍弃 了 X. 509 证 书 中 的 序列 号 、 发 行者 ID、 所 有 者 ID、 扩 
展 和 发 行者 签名 前 的 签名 算法 标识 ,大 大 减少 了 存储 证 书 所 需 的 空间 。 除 此 之 外 ， 
WPKI 还 限制 了 IETF PKIX 证 书 格式 中 某 些 数据 域 的 大 小 ,使 得 证 书 的 存储 空间 进 一 


2. 本 地 证 书 保存 方式 优化 


证 书 URL 方法 是 指 WPKI 规定 本 地 存储 的 可 以 只 是 证 书 的 URL。 这 是 因为 对 证 
书 的 下 载 、 存 储 都 需要 花费 移动 终端 本 身 十 分 有 限 的 资源 ,因此 可 采用 存储 证 书 URL 的 
形式 ,证书 保存 在 证 书目 录 服 务 器 中 ,网 关 需 要 与 终端 建立 安全 连接 时 ,终端 将 证 书 的 
URL 发 送 给 网 关 , 网 关 可 根据 证 书 URL, 自 行 到 证 书目 录 服 务 器 取出 用 户 的 证 书 并 进行 
验证 。 证 书 URL 有 两 种 格式 : LDAP URL 格式 和 HTTP URL 格式 。 由 于 移动 终端 并 
不 需要 解析 证 书 URL, 因 此 两 种 格式 的 选择 和 使 用 只 是 影响 PKI 所 选择 的 服务 器 类 型 。 

在 WPKI 中 建议 采用 的 证 书 模式 如 下 : @ 存储 在 移动 终端 中 的 WTLS 服务 器 证 书 
和 根 CA 证 书 使 用 WTLS 格式 ;@ 存储 在 服务 器 中 的 客户 端 证 书 ( 包 括 WTLS 层 和 应 
用 层 证 书 ) .CA 证 书 采用 X. 509 格式 ;@ 需 经 无 线 传输 或 存储 在 WAP 终端 的 客户 证 书 
(包括 WTLS 层 和 应 用 层 证 书 )CA 证 书 采 用 X. 509 格式 ;@ X. 509 客户 端 证 书 一 般 不 
存储 在 终端 设备 中 ,除非 客户 端 提供 这 个 功能 ,如 采用 WIM 卡 ;@ 推荐 客户 端 使 用 证 书 
URL 方式 。 
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3. 证 书 撤销 方式 优化 

在 使 用 PKI 系统 时 ,客户 端 最 大 的 负荷 在 于 验证 对 方 的 证 书 , 而 验证 中 最 关键 的 问 
题 是 验证 证 书 的 有 效 期 。 在 PKI 中 这 项 任务 可 由 两 种 方式 完成 。 一 种 是 证 书 撤销 列表 
(CRL)。CRL 可 由 LDAP 目录 服务 器 发 布 ,用 户 将 CRL 下 载 到 本 地 后 进行 验证 ,开销 远 
大 于 其 他 CA 操作 。 另 一 种 是 在 线 证 书 状态 协议 OCSP 方式 。OSCP 服务 器 对 外 公开 证 
书 状态 查询 端口 , 收 到 查询 请 求 包 后 ,在 系统 证 书 状 态 表 中 检查 证 书 是 否 作废 ,将 查询 结 
果 按 OCSP 协议 生成 响应 包 后 回 送 给 客户 端 。 

因 定 期 下 载 CRL 所 需要 的 时 间 和 费用 以 及 无 线 带 宽 限制 等 原因 ,上 述 两 种 方法 不 
适合 WPKI。 目 前 一 种 解决 办 法 是 在 WPKI 中 采用 短 时 网 关 (Short-Lived Gateway， 
SLC) 证 书 。WAP 网 关 生成 密 钥 对 ,产生 一 个 PKCS 标准 的 证 书 请 求 ,发 给 CA( 要 求 CA 
支持 WTLS 格式 证 书 ) ,CA 验证 有 效 后 颁发 WTLS 证 书 给 WAP 网 关 。 这 个 证 书 使 用 
有 效 期 很 短 ,例如 一 天 。 当 CA 想 撤回 该 服务 器 证 书 或 者 网 关 证 书 时 ,只 要 简单 地 不 再 继 
续 发 放 短 期 证 书 就 可 以 了 ,客户 端 将 再 也 无 法 得 到 有 效 的 证 书 ,因此 也 会 停止 认为 这 个 
服务 器 或 网 关 的 证 书 是 有 效 的 ,这 样 使 移动 终端 能 方便 地 识别 那些 证 书 已 经 失效 的 网 关 
或 服务 器 ,其 效果 就 相当 于 CA 维护 了 一 个 每 天 更 新 一 次 的 CRL。 

注意 : 

(1) CA 只 需要 给 WAP 网 关 和 应 用 服务 器 颁发 短 时 证 书 , 而 不 必 给 移动 终端 颁发 短 
时 证 书 , 因 为 移动 终端 的 证 书 存放 在 目录 服务 器 中 (移动 终端 内 只 保存 证 书 URL), 而 
WAP 网 关 、 应 用 服务 器 、 目 录 服 务 器 之 间 是 通过 有 线 网 络 连 接 的 ,因此 ,WAP 网 关 和 应 
用 服务 器 可 以 采用 传统 的 方式 从 目录 服务 器 中 下 载 CRL 来 判断 终端 的 证 书 是 否 被 撤 
销 。 另 一 方面 ,移动 终端 的 数量 往往 非常 多 ,如 果 CA 要 每 天 给 这 么 多 移动 终端 颁发 短 时 
证 书 ,CA 的 负担 也 是 非常 重 的 ,因此 这 种 做 法 不 可 行 。 

(2) 短 时 证 书 方式 的 缺点 是 : CA 每 天 要 对 所 有 用 户 颁发 新 的 证 书 ,CA 增加 了 很 多 
负担 。 

(3) 采用 短 时 证 书 方式 时 ,一 个 新 短 时 证 书 和 一 个 旧 的 短 时 证 书 的 有 效 期 必须 有 一 
个 重合 期 , 即 在 这 期 间 这 两 个 短 时 证 书 都 是 有 效 的 ,否则 客户 端 在 两 个 短 时 证 书 的 有 效 
期 之 间 找 不 到 证 书 ,会 认为 证 书 已 经 被 撤销 。 

(4) 由 于 不 需要 进行 证 书 撤销 ,因此 WTLS 证书 可 以 不 需要 序列 号 字段 。 


4. 公 钥 加 密 算法 优化 


加 密 算法 越 复杂 ,加 密 密 钥 越 长 , 则 安全 性 越 高 ,但 执行 运算 所 需 的 时 间 也 越 长 (或 
需要 计算 能 力 更 强 的 芯片 ) ,所 以 ,支持 RSA 算法 的 智能 卡通 常 需要 高 性 能 的 具有 协 处 
理 器 的 芯片 。 而 椭圆 曲线 加 密 体制 (ECC) 使 用 较 短 的 密 钥 就 可 以 达到 与 RSA 算法 相同 
的 加 密 强 度 ,因为 在 当今 公 钥 密 码 体制 中 ,ECC 具有 每 比特 最 高 的 安全 强度 ,所 以 WPKI 
采用 椭圆 曲线 加 密 体制 。 在 同等 安全 程度 的 情况 下 , 相 比 RSA 算法 ,椭圆 曲线 密码 体制 
使 用 的 密 钥 长 度 要 短 得 多 ,这 可 以 让 证 书 存储 公 钥 所 用 的 空间 减少 100B 左右 。 
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5. WPKI 协议 优化 


处 理 PKI 服务 请 求 的 传统 方法 依赖 于 ASN. 1 标准 的 BER(Basic Encoding Rules， 
基本 编码 规则 ) 和 DER(Distinguished Encoding Rules ,可 辨别 编码 规则 ) ,但 BER/DER 
都 要 占用 很 多 的 资源 ,并 不 适合 于 WAP 终端。 而 WPKI 协议 是 通过 WML 和 WML 脚 
本 加 密 接口 和 脚本 加 密 库 来 实现 的 。WML 和 WMLSCrypt 的 signText 功能 在 编码 和 
提交 PKI 设备 请 求 时 能 节约 大 量 的 资源 。 


6. 证 书 管理 不 同 


PKI 中 的 证 书 可 选择 多 种 方式 储存 .如 本 机 硬盘 、USB Key、 智 能 卡 等 ,而 WPKI 中 
的 移动 终端 证 书 一 般 储存 在 证 书目 录 服 务 器 中 , 仅 将 证 书 的 URL 储存 在 移动 终端 中 。 

WPKI 技术 虽然 有 着 广泛 的 应 用 前 景 , 但 在 技术 实现 和 应 用 方面 仍 面临 着 一 些 
问题 ; 

(1) 相对 于 有 线 终端 ,无 线 终端 的 资源 有 限 , 它 处 理 能 力 低 ,存储 能 力 小 ,需要 尽量 减 
少 证 书 的 数据 长 度 和 处 理 难度 。 

(2) 无 线 网 络 和 有 线 网 络 的 通信 模式 不 同 ,由 于 WPKI 证书 是 IETF PKIX 证 书 的 
一 个 分 支 , 还 需要 考虑 WPKI 与 标准 PKI 之 间 的 互通 性 。 

(3) 无 线 信道 资源 短缺 ,带宽 成 本 高 ,时 延长 ,连接 可 靠 性 较 低 ,因而 技术 实现 上 需要 
保证 各 项 安全 操作 的 速度 ,这 是 WPKI 技术 成 功 的 关键 之 一 。 

(4) 为 了 能 够 吸引 更 多 的 人 利用 WPKI 技术 从 事 移动 商务 等 活动 ,必须 提供 方便 可 
靠 和 具备 多 种 功能 的 移动 设备 ,因此 ,必须 改进 移动 终端 的 设计 ,以 满足 技术 和 应 用 的 
需要 。 


943 WILS 协 议 


WAP 的 安全 策略 主要 由 WTLS 协议 实现 。WTLS 工作 在 WAP 协议 的 安全 层 
(security layer) ,适合 在 窄带 通信 信道 上 使 用 。WTLS 的 功能 类 似 于 Internet 使 用 的 
SSL 协议 ,WTLS 将 Internet 的 安全 扩展 到 了 无 线 环境 ,从 而 带 来 了 移动 电子 商务 的 繁 
荣 。WTLS 为 了 适应 无 线 网 络 较 低 的 数据 传输 率 , 对 SSL 进行 了 一 定 程度 的 改进 ,同样 
可 实现 数据 完整 性 .数据 加 密 、 身 份 认证 三 大 功能 。 


1. WAP 的 会 话 模式 和 业务 流程 
WAP 的 安全 会 话 模式 如 图 9.6 所 示 ,一 个 安全 的 WAP 会 话 通过 两 个 阶段 实现 。 


国 WTLS | WAP L SSL a 
无 线 网 络 网 关 Internet 


移动 终端 Web 服 务 器 
图 9.6 WAP 的 安全 会 话 模式 
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(1) WAP 网 关 与 Web 服务 器 之 间 通 过 SSL 进行 安全 通信 ,确保 了 保密 性 、 完 整 性 
和 对 服务 器 的 认证 。 

(2) WAP 网 关 和 移动 终端 之 间 的 安全 通信 使 用 WTLS 协议 。 

提示 : 从 图 9.6 可 以 看 出 , WAP 网 关 会 将 WTLS 协议 加 密 的 数据 解密 后 再 用 SSL 
协议 加 密 , 在 此 期 间 ,数据 会 以 明文 形式 在 WAP 网 关中 存在 一 段 时 间 , 此 时 数据 的 安全 
性 无 法 得 到 保证 。 更 为 严重 的 是 ,在 WAP 协议 中 ,上 暗示 着 移动 用 户 信任 WAP 网 关 的 假 
设 , 所 有 敏感 数据 都 在 WAP 网 关中 被 解密 。 这 是 WAP 协议 的 一 个 安全 问题 。 

用 户 利用 WAP 访问 Internet 的 过 程 如 下 ,该 过 程 如 图 9.7 所 示 。 


| 已 编码 的 请 求 _「 WAP 网 关 请 求 


已 膀 码 的 啊 应 ”| | 编码 解码 器 | 广 人 策应 (内容) 
移动 终端 Web 服 务 器 


9.7 典型 WAP 业务 流程 一 一 拉 模 式 


(1) 用 户 在 WAP 设备 输入 URL( 如 http://wap. sina. com),WAP 设备 编码 URL 
为 一 个 WAP 请 求 , 并 通过 无 线 链 路 发 送 给 WAP 网 关 。 

(2) WAP 网 关 收 到 请 求 后 ,对 请 求 进 行 解 码 转换 为 HTTP 请 求 , 然 后 把 请 求 传送 给 
Internet 上 的 内 容 服务 器 。 

(3) 内 容 服 务 器 返回 WML/WMLScript 页 面 给 WAP 网 关 。 

(4) WAP 网 关 对 返回 的 页 面 进行 解码 ,并 编码 为 WAP 格式 (WBXML) ,然后 把 它 
发 送 给 WAP 设备 。 

图 9.7 是 WAP 业务 模型 的 拉 (pull) 模 式 , 即 移动 终端 主动 向 服务 器 发 送 请 求 。 另 
一 种 WAP 业务 模型 是 推 (push) 模 式 , 即 服务 器 也 可 直接 向 移动 终端 推送 信息 。 

由 上 述 过程 可 见 , 移 动用 户 通过 移动 终端 访问 网 络 的 过 程 会 涉及 有 线 网 络 和 无 线 网 
络 两 种 网 络 环境 ,需要 通过 WAP 网 关 实 现 协议 转换 ,完成 有 线 网 络 与 无 线 网 络 的 连接 。 
因此 ,移动 电子 商务 中 实现 端 到 端 (客户 端 与 服务 器 端 ) 的 安全 连接 比 有 线 网 络 中 的 处 理 
方式 更 加 复杂 。 

WAP 网 关 的 主要 功能 之 一 就 是 对 请 求 和 响应 进行 编码 解码 ,这 是 因为 ,WAP 协议 
传输 的 是 二 进 制 数据 ,而 HTTP 协议 传输 的 是 文本 数据 ,两 种 数据 格式 不 同 , 需 要 编码 和 
解码 。 


2. WTLS 协议 安全 认证 级 别 


WTLS 协议 是 在 SSL 协议 基础 上 针对 移动 网 络 的 特点 改进 而 成 的 ,改进 时 主要 考虑 
的 因素 有 以 下 几 个 : 

(1) 底层 协议 不 同 。TLS 工作 在 TCP 之 上 ,WTLS 是 工作 在 WDP 之 上 ,需要 处 理 
丢 包 ,重复 和 乱 序 等 问题 ,而 TLS 中 这 些 问题 由 TCP 来 处 理 。 

(2) 无 线 承载 延迟 较 大 ,WTLS 需要 在 保证 安全 的 情况 下 尽 可 能 地 减 小 通信 双方 的 
协议 交互 。 

(3) 无 线 承 载 带宽 较 低 ,协议 开销 必须 最 小 化 。 
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(4) 终端 能 力 受 限 ,保证 可 靠 性 的 同时 尽 可 能 选择 计算 量 和 内 存 需求 量 小 的 算法 。 

根据 服务 器 和 客户 端 相互 认证 的 情况 ,可 以 把 WTLS 的 应 用 分 为 3 个 等 级 (class) : 

(1) 等 级 1: 服务 器 和 客户 端 不 需要 相互 认证 。 这 称 为 匿名 加 密 模式 ,这 种 方式 可 以 
建立 安全 通信 的 通道 ,但 没有 对 通信 双方 的 身份 进行 认证 。 

(2) 等 级 2: 服务 器 被 客户 端 认证 ,但 客户 端 不 被 服务 器 端 认 证 。 等 级 2 支持 服务 器 
证 书 , 也 就 是 客户 端 可 通过 服务 器 证 书 验证 服务 器 的 身份 。 

(3) 等 级 3: 服务 器 和 客户 端 相互 都 进行 认证 。 等 级 3 支持 客户 端 证 书 , 也 就 是 客户 
端 和 服务 器 可 通过 对 方 的 证 书 相 互 进行 身份 认证 。 

可 见 , 等 级 1 即 匿名 加 密 模式 是 WTLS 协议 独 有 的 ,SSL 协议 没有 这 种 模式 。 

WTLS 允许 通过 匿名 方式 或 证 书 对 客户 端 与 服务 器 端 进 行 认证 ,一 般 需要 客户 端 或 
服务 器 端 在 建立 会 话 信 自 、 中 提供 他 们 的 公 钥 。 在 这 3 类 WTLS 中 ,有 些 特性 是 必 备 的 
(MD) ,有 些 是 可 选 的 (0) ,还 有 些 是 不 需要 的 ,具体 区 别 如 表 9.4 所 示 。 


表 9.4 WTLS 的 3 个 认证 等 级 


特 征 等 级 1 | 等 级 2 | 等 级 3 特 征 等 级 1 | 等 级 2 | 等 级 3 
公 钥 交换 M M M 服务 器 端 认证 O O 
加 密 O M M 压缩 M M M 
MAC O O M 共享 密 钥 握手 M M M 
客户 端 认 证 人 O O 智能 卡 接口 O O 


3. WTLS 握手 协议 流程 


在 WTLS 握手 协议 中 , 当 WTLS 客户 端 和 服务 器 建立 通信 后 ,双方 就 协议 版 本 达成 
一 致 ,选择 加 密 算法 ,利用 证 书 进行 身份 认证 ,并 且 使 用 公 钥 加 密 技 术 分 配 双方 共享 的 会 
话 密 钥 。 图 9. 8 描述 了 WTLS 的 握手 协议 流程 。 


客户 端 服务 器 端 
Client Hello 
Server Hello 
Certificate* 


Server Key Exchange*| 
Certificate Request* 
Server Hello Done 


Certificate* 
Client Key Exchange* 
Certificate Verify* 


[ChangeCipherSpec] 
Finished 


[ChangeCipherSpec] 
Finished 


图 9.8 WTLS 握手 协议 流程 


握手 协议 的 信号 信息 流 的 具体 描述 如 下 : 
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(1) 客户 端 向 服务 器 发 送 Client Hello 消息 ,服务 器 响应 一 个 Server Hello 消息 。 这 
两 个 Hello 消息 协商 了 如 下 信息 : 协议 版 本 、 密 钥 交 换算 法 、 加 密 算 法 、 压 缩 算法 、 密 钥 更 
新 频率 、 序 列 号 模式 及 一 对 随机 数 : ClientHello. random 和 ServerHello. random 。 

(2) 在 Server Hello 消息 之 后 。 服 务 器 可 能 会 发 送 自己 的 证 书 给 客户 端 ,让 客户 端 
认证 自己 ,如 果 服 务 器 没有 证 书 或 者 证 书 只 能 用 于 签名 , 则 服务 器 就 会 发 送 Server Key 
Exchange 消息 , 其 中 包含 其 公 钥 信息 。 如 果 服 务 器 发 送 了 证 书 , 它 就 可 能 发 送 
Certificate Request 消息 来 请 求 客户 端 证 书 , 然 后 服务 器 发 送 Server Hello Done 消息 。 
如 果 服 务 器 发 送 了 Certificate Request 消息 , 则 客户 端 必 须发 送 自己 的 证 书 给 服务 器 。 

(3) 客户 端 对 服务 器 的 证 书 进行 验证 (如 果 服 务 器 发 来 证 书 的 话 ) ,如 果 验 证 通过 , 客 
户 端 向 服务 器 发 送 的 报 文 包括 : 如 果 服 务 器 请 求 客 户 端的 证 书 , 则 客户 端 发 送 自己 的 证 
书 ;: 若 没有 合适 的 证 书 , 则 发 送 no_alert 报警 代 蔡 。 然 后 客户 端 产生 一 个 随机 数 作为 预 
主 密 钥 ,再 用 服务 器 证 书 中 的 公 钥 加 密 该 预 主 密 钥 后 发 给 服务 器 。 根 据 需 要 ,客户 端 可 
能 会 用 它 的 私 钥 签名 一 些 信 息 发 送 给 服务 器 ,表明 它 是 该 证 书 的 拥有 者 : 

这 是 我 的 证 书 , 里 面 有 我 的 名 字 和 公 铀 ,你 可 以 用 来 验证 我 的 身份 (把 证 书 发 给 A) 。 

(4) 服务 器 对 客户 端的 证 书 进行 验证 ,用 自己 的 签名 私 钥 解密 消息 ,得 到 预 主 密 钥 ， 
采用 与 客户 端 同样 的 方法 生成 消息 的 加 密 密 钥 。 

(5) 完成 以 上 客户 端 和 服务 器 双方 的 认证 和 密 钥 交换 过 程 后 ,客户 端 发 送 一 个 
ChangeCipherSpec 消息 , 且 马 上 把 这 些 预 生效 的 加 密 算 法 参数 设置 为 当前 加 密 算法 参 
数 , 然 后 发 送 一 个 基于 新 算法 、 新 密 钥 和 本 次 WTLS 消息 序列 的 MAC 值 的 Finished 消 
息 。 服 务 器 收 到 ChangeCipherSpec 消息 后 的 响应 是 同样 发 送 一 个 ChangeCipherSpec 消 
息 ,并 同 客户 端 一 样 设置 新 的 密码 规范 ,然后 同样 发 送 Finished 消息 。 至 此 整个 握手 过 
程 完 成 ,双方 可 以 开始 应 用 层 数 据 的 交换 。 

经 过 上 述 过 程 ,用 户 和 服务 器 确认 了 对 方 的 身份 ,确定 了 建立 安全 通信 所 需 的 数据 
处 理 方 法 .消息 的 加 密 密 钥 及 加 解密 算法 ,一 个 安全 的 通信 信道 就 已 建立 。 


4. WTLS 握手 协议 的 一 个 实例 


下 面 以 一 次 安全 连接 为 例 来 描述 安全 认证 的 流程 。 假 设 参与 交易 的 各 方 都 已 获得 
相应 的 WPKI 证书 ,并 且 该 连接 要 求 第 三 类 安全 服务 : 

(1) 客户 端 发 起 连接 请 求 ,提供 加 密 算法 、 认 证 算法 以 及 压缩 算法 候选 列表 ,并 提供 
安全 性 需求 .客户 随机 数 等 数字 化 信息 到 服务 器 。 

(2) 服务 器 通过 选择 适合 自己 的 算法 信息 并 发 送 服务 器 随机 数 , 接 着 发 送 服务 器 证 
书 到 客户 端 ,此 时 ,WPKI 证 书 以 证 书 链 的 形式 存在 。 

(3) 服务 器 发 送 获取 客户 证 书 的 请 求 。 

(4) 客户 端 利用 存储 在 WIM 卡 中 的 CA 中 心 公 钥 验证 证 书 链 ,以 检验 服务 器 证 书 的 
有 效 性 。 

(5) 客户 端 发 送 自己 的 证 书 URL 到 服务 器 。 服 务 器 向 证 书 中 心 申 请 客户 证 书 进 行 
验证 。 

(6) 客户 端 生 成 预 主 密 钥 并 用 服务 器 端 公 钥 加 密 后 传送 到 服务 器 ,通知 服务 器 应 该 
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采用 协商 好 的 会 话 密 钥 ,并 发 送 结束 握手 报 文 以 结束 整个 流程 。 
5. WTLS 与 SSL 协议 的 主要 区 别 


WTLS 与 SSL 的 主要 区 别 在 于 SSL 无 法 在 UDP 上 工作 , 它 需要 一 个 可 靠 的 传输 
层 一 一 TCP。 由 于 WAP 协议 栈 没有 提供 可 靠 的 传输 层 , 在 分 组 网 络 上 优先 选择 了 
UDP, 它 只 在 协议 栈 的 上 层 通过 WTP 和 WSP 实现 了 可 靠 性 ,WTLS 工作 在 WDP 和 
UDP 之 上 。WTLS 帧 中 定义 了 序列 号 ,该 序列 号 确保 WTLS 可 以 工作 在 不 可 靠 的 传输 
层 上 ,而 这 在 SSL 中 是 不 存在 的 。 

提示 : SSL 中 的 序列 号 只 在 记录 层 计 算 MAC 值 时 作为 MAC 输入 的 一 部 分 ,以 防止 
重 放 攻击 ;WTLS 中 的 序号 除了 SSL 中 的 序列 号 的 作用 外 ,还 用 来 监测 记录 的 丢失 、 重 复 
和 乱 序 。 

WTLS 比 SSL 增加 了 序号 模式 : 

(1) 隐 式 模式 。 序 号 作用 和 SSL 中 相同 , 仅 做 MAC 计算 输入 。 

(2) 显 式 序号 模式 。 除 了 做 MAC 计算 输入 ,还 以 明文 形式 随 记 录 层 消息 发 送 , 当 
WTLS 工作 在 数据 报 传输 协议 之 上 时 ,必须 使 用 这 种 序号 模式 ,此 时 只 能 保证 序号 是 单 
向 增加 的 ,但 不 能 保证 序号 是 连续 的 。 

(3) 关闭 模式 。 不 使 用 序号 ,任何 时 候 都 不 推荐 ,无 法 抵御 重 放 攻击 。 

可 见 ,WTLS 实现 了 对 不 可 靠 的 、 非 连接 的 数据 报 的 支持 ,连接 状态 序号 是 实现 对 数 
据 报 支 持 的 重要 因素 。 

WTLS 不 支持 数据 的 分 组 和 重 装 , 它 将 这 个 工作 交 给 下 层 协 议 处 理 , 与 此 不 同 的 是 ， 
SSL 可 以 对 上 层 协议 的 数据 包 进 行 分 组 。 表 9.5 对 WTLS 和 SSL 协议 进行 了 比较 。 


表 9.5 WTLS 和 SSL 的 比较 


协议 SSL WILS 
必 y 尘 书 业 i X. 509 格式 证 书 \ 证 书 URL、WTLS 格 
支持 数字 证 书 类 型 X. 509 格式 证 书 式 证 书 .X. 968Cdraft) 格 式 证 书 
是 否 必须 进行 身份 认证 是 ,至 少 单 向 身份 认证 否 , 支 持 匿 名 模式 
i a DH anon、RSA anon、ECDH anon、 
握手 协议 DH-DSS.DH-RSA\RSA RSA.ECDH_ECDSA 
证 书 是 否 包含 序列 号 要 求 包含 不 要 求 包含 
对 称 加 密 算法 RC4 .DES.3DES.\IDEA RC5 .DES.3DES.\IDEA 
报警 信息 校 验 和 无 有 
是 否 支 持 UDP 服务 不 支持 支持 


相对 于 SSL 协议 ,WTLS 在 协议 算法 实现 细节 上 做 了 许多 优化 ,以 下 列举 几 点 : 

(1) 在 WTLS 记录 协议 规范 中 ,多 个 记录 可 以 被 连接 成 一 个 传送 业务 数据 单元 
(SDU), 有 利于 手持 设备 的 传送 (如 GSM 短 消息 )。 

(2) WTLS 连接 状态 的 一 些 参 数 , 如 主 密 钥 、 客 户 端 和 服务 器 随机 数 长 度 分 别 为 20B 
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(目前 无 线 环境 中 以 20B 长 度 为 宜 ) .16B 和 16B; 而 TLS 连接 状态 安全 参数 的 对 应 值 分 
别 为 48B、32B 和 32B。 

(3) 记录 层 WTLS 从 上 层 非 空 块 接收 的 消息 为 长 度 不 大 于 2 一 1B 的 未 解释 数据 ， 
且 不 对 消息 块 进行 分 块 。SSL 中 记录 层 则 从 上 层 接 收 任意 长 度 的 未 解释 数据 ,将 信息 分 
为 小 于 或 等 于 24B 的 块 。 

(4) 在 握手 协议 中 , WTLS 安全 对 话 协 商 的 内 容 包括 几 个 SSL 中 没有 的 部 分 ,如 安 
全 连接 序列 编号 、 密 钥 更 新 频率 .是 否 可 恢复 。 

(5) WTLS 握手 协议 中 许多 并 发 的 安全 连接 可 以 由 同一 个 安全 会 话 产生 ,允许 基于 
同一 会 话 的 安全 连接 共享 某 些 系 统 参数 。 

(6) WTLS 采 用 了 优化 和 缩短 的 握手 过 程 。 

WTLS 告警 消息 中 特别 设计 了 一 个 4B 的 校 验 字段 ,用 于 防止 协议 攻击 者 通过 发 送 
虚假 的 告警 消息 来 对 WTLS 实体 实施 拒绝 服务 攻击 。 

WTLS 的 这 些 优化 及 新 功能 ,如 动态 密 钥 刷 新 、 数 据 报 支持 、 优 化 的 握手 协议 等 ,都 
是 为 了 适应 无 线 移动 环境 的 特点 ,以 方便 为 两 个 通信 对 端 间 的 应 用 提供 鉴 权 、 私 有 性 、 数 
据 完整 性 及 拒绝 服务 保护 。 


6. WTLS 握手 协议 安全 漏洞 


WTLS 握手 协议 的 思想 是 通过 EC-DH 算法 生成 公共 信道 的 密 钥 ,并 通过 ECDSA 
算法 来 验证 客户 端的 身份 。 该 协议 存在 以 下 的 安全 漏洞 : 

(1) 缺乏 前 向 保密 性 和 用 户 匿 名 保护 。 在 WTLS 握手 协议 消息 流 中 ,发送 给 服务 器 
的 用 户 证 书 没有 经 过 任何 加 密 处 理 , 容 易 造 成 信息 的 内 部 泄漏 问题 ,同时 也 不 满足 用 户 
匿名 性 要 求 。 另 外 ,缺少 这 些 安 全 属性 而 只 有 用 户 签名 的 握手 协议 是 不 能 提供 互 认 证 服 
务 的 。 

(2) 拒绝 服务 攻击 。WTLS 协议 以 无 连接 的 数据 报 协议 (UDP) 代 替 TCP ,容易 造成 
拒绝 服务 攻击 。 

(3) 密 钥 生 成 速度 慢 。ECC 的 效率 和 加 密 签 名 结果 长 度 虽 然 远 小 于 RSA ,但 是 密 钥 
生成 速度 却 比 RSA 算法 要 慢 几 个 数量 级 ,对 证 书 的 生成 和 管理 产生 一 定 影响 。 在 确定 
椭圆 曲线 方程 时 , 稍 有 不 慎 就 会 导致 整个 系统 的 安全 性 降低 ,例如 超 奇 异 和 不 规则 椭圆 
lH 线 就 不 符合 安全 性 要 求 。 


944 无 线 网 络 的 物理 安全 技术 


1. 跳 频 技术 


蓝牙 技术 中 ,保证 物理 层 数据 安全 的 主要 手段 是 采用 跳 频 扩展 技术 ,这 使 得 窃听 变 
得 极为 困难 。 蓝 牙 设 备 工 作 在 2.402 一 2. 480GHz 的 频带 ,整个 频带 被 分 为 79 个 1MHz 
带宽 的 子 信道 ,如 果 射 频 单 元 在 某 个 频带 遇 到 干扰 , 则 会 在 下 一 步 自 动 跳 到 另 一 频率 点 
重新 传输 受到 干扰 的 信号 ,因此 总 的 干扰 可 以 变 得 很 低 。 

为 了 保证 数据 传输 的 完整 性 ,蓝牙 技术 使 用 了 以 下 3 种 纠 错 方案 : 1/3 比例 前 向 
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纠 错 码 ; @2/3 比例 前 向 纠 错 码 ; @ 数 据 的 自动 重 发 请 求 (ARQ) 方 案 。 

蓝牙 产品 的 认证 和 加 密 服务 一 般 由 数据 链 路 层 提供 ,认证 采用 挑战 -应 答 方 式 进行 。 
在 连接 过 程 中 往往 需要 1 一 2 次 认证 。 为 了 确保 通信 安全 ,对 蓝牙 产品 进行 认证 是 十 分 
必要 的 ,通过 认证 以 后 ,用 户 可 以 自行 添加 可 信任 的 蓝牙 设备 。 例 如 ,用 户 的 笔记 本 电脑 
通过 认证 后 ,能 够 确保 只 有 用 户 自己 的 这 台电 脑 才 可 以 借助 用 户 的 手机 进行 通信 。 


2. SSID 访问 控制 


SSID 是 Service Set Identifier( 服 务 集 标 识 符 ) 的 缩写 。SSID 技术 可 以 将 一 个 无 线 
局 域 网 分 为 几 个 需要 不 同 身份 验证 的 子 网 络 , 每 一 个 子 网 络 都 需要 独立 的 身份 验证 ,只 
有 通过 身份 验证 的 用 户 才 可 以 进入 相应 的 子 网 络 ,防止 未 被 授权 的 用 户 进 入 本 网 络 。 同 
时 对 资源 的 访问 权限 进行 区 别 限制 。 

SSID 是 相 邻 的 无 线 接 人 点 (AP) 区 分 的 标志 ,无 线 接 人 用 户 必须 设 定 SSID 才能 和 
AP 通信。 通常 SSID 须 事先 设置 于 所 有 使 用 者 的 无 线 网 卡 及 AP 中 。 尝 试 连接 到 无 线 
网 络 的 主机 在 被 允许 进入 之 前 必须 提供 SSID ,这 是 唯一 标识 网 络 的 字符 串 。 

通俗 地 说 ,SSID 便 是 用 户 给 自己 的 无 线 网 络 所 取 的 名 字 。 需 要 注意 的 是 ,同一 生产 
商 推 出 的 无 线路 由 器 或 AP 都 使 用 了 相同 的 SSID, 一 旦 那些 企图 非法 连接 的 攻击 者 利用 
通用 的 初始 化 字符 串 来 连接 无 线 网 络 ,就 极 易 建立 起 一 条 非法 的 连接 ,从 而 给 用 户 的 无 
线 网 络 带 来 威胁 。 因 此 ,建议 最 好 能 够 将 SSID 命名 为 一 些 较 有 个 性 的 名 字 。 

但 是 SSID 对 于 网 络 中 所 有 用 户 都 使 用 相同 的 字符 串 ,其 安全 性 差 , 人 们 可 以 轻易 地 
从 每 个 信息 包 的 明文 里 窃取 到 它 。 

提示 : 无 线路 由 器 一 般 都 会 提供 “允许 SSID 广播 ”功能 。 如 果 不 想 让 自己 的 无 线 网 
络 被 别人 通过 SSID 名 称 搜索 到 ,那么 最 好 选择 “禁止 SSID 广播 ", 这 样 ,自己 的 无 线 网 络 
仍然 可 以 使 用 ,只 是 不 会 出 现在 其 他 人 可 搜索 到 的 可 用 网 络 列表 中 。 通 过 禁止 SSID 广 
播 设置 后 ,无 线 网 络 的 传输 效率 会 受到 一 定 的 影响 ,但 以 此 换取 安全 性 的 提高 还 是 值 
得 的 。 

3. WEP 与 WPA 


在 无 线 局 域 网 WLAN 安全 标准 定义 领域 ,IEEE 802. 11b 标准 中 首先 定义 了 有 线 等 
效 保密 协议 (Wired Equivalent Privacy, WEP), WEP 基于 流 密码 算法 RC4 和 采用 预 共 
享 密 钥 机 制 实现 对 实体 认证 和 数据 保密 通信 ,但 后 来 研究 人 员 发 现 WEP 存在 诸多 安全 
缺陷 。 

WiFi 组 织 针对 WEP 存在 的 安全 性 问题 提出 了 WEP 的 改进 协议 : WiFi 保护 访问 
协议 CWiFi Protected Access,WPA) ,WPA 引 入 了 IEEE 802. 1X 访问 控制 协议 .扩展 认 
证 协议 (Extensible Authentication Protocol,EAP) .临时 密 钥 完整 性 协议 (Temporal Key 
Integrity Protocol,TKIP) ,并 增加 了 RC4 算法 密 钥 长 度 及 初始 向 量 长 度 ,改进 了 密 钥 混 
合 方式 ,采用 了 消息 完整 性 认证 码 (Message Integrity Code, MIC) 等 安全 机 制 。 

因此 可 以 说 : WPA=IEEE 802. 1X+TEAP 十 TKIP 十 MIC。 
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忆 是 
. 在 移动 互联 网 中 ,( ) 的 证 书 不 需要 使 用 短 时 证 书 形式 。 
A. Web 服务 器 B. WAP 网 关 C. 移动 终端 D. CA 
.移动 终端 要 访问 Internet 主要 通过 ( 
A. 目录 服务 器 B. WAP 网 关 C. PKI 门户 D. RA 
. 在 WPKI 模 型 中 ,PKI 门户 具有 和 的 功能 。 


. 简 述 PKI 与 WPKI 的 区 别 。 
. 简 述 SSL 协议 与 WTLS 协议 的 区 别 。 


物 联网 的 安全 


1999 年 ,美国 麻 省 理工 学 院 的 自动 标识 中 心 提 出 了 物 联网 (Internet of Things,IoT) 
的 概念 。 物 联网 , 即 物 物 相 连 的 互联 网 ,是 指 通过 装置 在 物体 上 的 各 种 信息 传 感 设 备 , 如 
射频 识别 (Radio-Frequency Identification ,RFID) 装 置 、 红 外 感应 器 、 全 球 定 位 系统 .激光 
扫描 器 等 ,按照 约定 的 协议 ,并 通过 相应 的 接口 ,把 物品 与 互联 网 相连 ,进行 信息 交换 和 
通信 ,从 而 实现 智能 化 识别 、 定 位 跟踪 、 监 控 和 管理 的 一 种 巨大 网 络 。 

物 联网 实质 是 RFID 技术 与 无 线 传感器 网 络 的 结合 应 用 。 简 单 地 说 , 物 联网 是 建立 
在 物品 编码 标签 .RFID 技术 和 无 线 Internet 基础 上 ,把 所 有 物品 通过 相应 的 信息 传 感 设 
备 与 Internet 联接 起 来 ,实现 智能 化 识别 、 监 控 与 管理 。 例 如 现在 电视 机 、 空 调 等 都 可 使 
用 微 信 进 行 远 程 操 控 , 就 是 物 联网 在 人 们 生活 中 的 应 用 。 国 际 电信 联盟 (ITU) 预测 ,未 
来 世界 将 是 无 处 不 在 的 物 联 网 世界 。 美 国 FORRESTER 机 构 预测 : 至 2020 年 ,世界 上 
物 物 互联 的 业务 与 人 和 人 通信 的 业务 相 比 将 达到 30 : 1。 因 此 , 物 联网 将 成 为 下 一 个 万 
亿 级 的 通信 业务 。 


101 入 联网 的 组 成 和 工作 原理 


物 联网 就 是 通过 射频 识别 (RFID) 红外 感应 器 .全球 定 位 系统 (GPS) ,激光 扫描 器 等 
信息 传 感 设备 , 按 约定 的 协议 ,以 有 线 或 无 线 的 方式 把 任何 物品 与 互联 网 连接 起 来 ,以 计 
算 ,存储 等 处 理 方式 构成 所 关心 事物 静态 与 动态 的 信息 的 知识 网 络 ,用 以 实现 智能 化 识 
别 、 定 位 .跟踪 ,监控 和 管理 的 一 种 网 络 。 

从 技术 层面 理解 , 物 联 网 是 指 物体 通过 智能 感应 装置 ,经 过 传输 网 络 ,到 达 指 定 的 信 
息 处 理 中 心 , 最 终 实 现 人 和 物 、 物 与 物 之 间 的 自动 化 信息 交互 与 处 理 的 智能 网 络 。 

从 应 用 层面 理解 , 物 联 网 是 指 把 世界 上 所 有 的 物体 都 联接 到 一 个 网 络 中 ,形成 “ 物 联 
网 ”, 然 后 “ 物 联 网 ”又 与 现 有 的 互联 网 结合 ,实现 人 类 社会 与 物理 系统 的 整合 ,达到 以 更 
加 精细 和 动态 的 方式 管理 生产 和 生活 。 


1011 物 联网 的 组 成 
根据 物 联网 的 本 质 属性 和 应 用 特征 , 物 联网 的 体系 架构 可 分 为 3 层 : 感知 层 、 网 络 层 
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和 应 用 层 。 各 层 的 关键 技术 如 图 10. 1 所 示 。 各 层 的 作用 如 下 。 


物流 | | 智能 | | 运程 | 智能 
监控 交通 医疗 监控 家 居 
由 物 联网 应 用 支撑 平台 行业 服务 与 支撑 平台 
云 计算 平台 ] [信息 共享 与 交互 平台 ] [专家 系统 平台 
UL 互联 互通 
网 移动 通信 网 | [互联 网 M2M 无 线 接 入 | 
总 异 构 网 融合 | ” [下 一 代 承 载 网 远程 控制 
互联 互通 
感 RFID 感 应 吕 。 | 传感器 网 关 接 入 网 关 
9 RFID 标 签 | “|[ 传感器 节点 智能 终端 


10.1 物 联网 的 体系 结构 


1. 感知 层 


感知 层 是 物 联 网 的 皮肤 和 五 官 ,主要 功能 是 信息 感知 和 采集 ,包括 传感器 等 数据 采 
集 设 备 以 及 数据 接 人 到 网 关 之 前 的 传感器 网 络 。 感 知 层 是 物 联 网 发 展 和 应 用 的 基础 ， 
RFID 技术 、 传 感 和 控制 技术 , 短 距 离 无 线 通信 技术 是 感知 层 涉及 的 主要 技术 。 


2. 网 络 层 


网 络 层 是 物 联 网 的 神经 中 枢 和 大 脑 ,用 于 传递 信息 和 处 理 信息 。 物 联网 的 网 络 层 将 
建立 在 现 有 的 移动 通信 网 和 互联 网 基础 上 。 网 络 层 中 的 感知 数据 管理 与 处 理 技术 是 实 
现 以 数据 为 中 心 的 物 联 网 的 核心 技术 ,其 包括 传 感 网 数据 的 存储 查询、 分析、 挖掘 、 理 解 
及 基于 感知 数据 决策 和 行为 的 理论 和 技术 。 


3. 应 用 层 


应 用 层 是 物 联 网 的 “社会 分 工 ”, 是 物 联 网 与 行业 专业 技术 的 深度 融合 ,结合 行业 需 
求实 现行 业 智能 化 。 物 联网 的 应 用 层 利用 经 过 分 析 处 理 的 感知 数据 ,为 用 户 提供 丰富 的 
特定 服务 。 应 用 层 是 物 联网 发 展 的 目的 。 

物 联 网 技术 是 一 项 综合 性 的 技术 ,是 一 项 系统 工程 。 物 联网 的 实施 步骤 主要 如 下 : 

(1) 对 物体 属性 进行 标识 ,属性 包括 静态 属性 和 动态 属性 。 

(2) 需要 识别 设备 完成 对 物体 属性 的 读 取 ,并 将 信息 转换 为 适合 网 络 传输 的 数据 
格式 。 

(3) 将 物体 的 信息 通过 网 络 传输 到 信息 处 理 中 心 。 

总 的 来 说 , 物 联 网 有 两 大 特征 : 其 一 是 泛 在 化 , 即 物 联网 的 覆盖 范围 可 无 处 不 在 ;其 
二 是 智能 化 , 即 对 物品 按照 实际 需求 赋予 智能 。 
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Nuss sin 


物 联 网 还 具有 以 下 3 个 基本 要 素 : 

第 一 个 要 素 是 在 信息 感知 方面 ,全 面 信息 采集 是 实现 物 联 网 的 基础 。 这 是 感知 层 需 

第 二 个 要 素 就 是 传送 网 。 无 所 不 在 、 泛 在 化 的 无 线 通信 网 络 是 实现 物 联网 的 重要 
设施 。 

第 三 个 要 素 就 是 信息 处 理 。 其 中 最 重要 的 就 是 如 何 低 成 本 地 处 理 海量 信息 ,因此 云 
计算 常常 被 用 在 物 联网 信息 处 理 领域 。 


1012 FHD 系 统 的 组 成 


作为 物 联 网 感知 层 的 关键 技术 ,RFID 发 展 相 当 迅 速 ,由 于 其 非 接触 性 、 防 污染 、 高 灵 
活性 、 高 数据 储存 量 \ 快 识别 速度 和 长 使 用 寿命 等 优点 ,已 被 广泛 应 用 于 智能 交通 \、 环 境 
保护 ,政府 工作 、 公 共 安 全 ,智能 消防 、 工 业 检 测 、 农 业 管理 和 数字 家 庭 等 众多 领域 的 数据 
收集 和 人 处理 。 然 而 ,RFID 系统 的 广泛 应 用 使 其 隐私 安全 面临 巨大 挑战 , 源 于 当初 “系统 
开放 ”的 设计 理念 ,攻击 者 也 可 以 通过 电子 标签 与 移动 读 写 器 之 间 的 不 安全 信道 截获 .\ 干 
扰 和 算 改 RFID 标签 中 的 用 户 信息 ,其 至 是 军事 机 密 或 商业 机 密 。 因 此 ,一 个 完善 的 
RFID 系统 解决 方案 应 当 充 分 考虑 如 何 实现 数据 的 保密 性 ,完整 性 、 真 实 性 和 用 户 隐 私 性 
等 安全 要 素 , 而 由 于 RFID 标签 自身 的 处 理 能 力 、 存 储 空 间 和 电源 供给 都 十 分 有 限 等 问 
题 ,使 得 设计 RFID 安全 协议 的 基本 要 求 是 同时 具有 高 安全 和 低 成 本 特性 。 

在 物 联网 的 构想 中 ,RFID 标签 中 存储 着 规范 且 具 有 互 用 性 的 信息 ,通过 无 线 通信 网 
络 把 它们 自动 采集 到 中 央 信 息 系 统 , 实 现 物品 (商品 ) 的 自动 识别 ,进而 通过 开放 性 的 计 
算 机 网 络 实现 信息 交换 和 共享 ,实现 对 物品 的 “透明 "管理 。 

典型 的 RFID 系统 由 电子 标签 (electronic tag)、 阅 读 器 (reader) 和 数据 处 理子 系统 
(应 用 系统 )3 部 分 组 成 ,如 图 10. 2 所 示 。 对 于 无 源 系统 ,阅读 器 通过 耦合 元 件 发 送出 一 
定 频率 的 射频 信号 , 当 标 签 进入 该 区 域 时 ,通过 耦合 元 件 从 中 获得 能 量 以 驱动 后 级 芯片 
与 阅读 器 进行 通信 。 阅 读 器 读 取 标 签 的 自身 编码 等 信息 并 解码 后 送 至 数据 处 理子 系统 。 
而 对 于 有 源 系 统 ,标签 进入 阅读 器 工作 区 域 后 ,由 自身 内 秀 的 电池 为 后 级 芯片 供电 以 完 
成 与 阅读 器 间 的 相应 通信 过 程 。 


数据 处 理子 系统 阅读 器 电子 标签 
™ 查询 i 个 WY 
中 间 件 查询 | 
dl “二 是 | 
软件 一 接 | 能 量 
读 取 口 L_ 
数据 协议 处 理 器 | 。 [标签 驱动 (射频 单元 ) 
应 用 程序 接口 (APD 空中 接口 (air interface) | 


10.2 ”RFID 系统 的 组 成 
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1. 电子 标签 


电子 标签 也 称 为 智能 标签 (smart tag) ,是 由 IC 芯片 和 无 线 通 信 天 线 组 成 的 超 微型 
的 小 标签 ,其 内 置 的 射频 天 线 用 于 和 阅读 器 进行 通信 。 电 子 标签 是 RFID 系统 中 真正 的 
数据 载体 ,系统 工作 时 ,阅读 器 发 出 查询 (能 量 ) 信 号 ,标签 (无 源 ) 在 接收 到 查询 (能 量 ) 信 
号 后 将 其 一 部 分 整流 为 直流 电源 供电 子 标签 内 的 电路 工作 , 另 一 部 分 能 量 信号 被 电子 标 
签 内 保存 的 数据 信息 调制 后 反射 回 阅读 器 。 

电子 标签 结构 如 图 10. 3 所 示 ,其 内 部 各 模块 的 功能 如 下 : 


天 线 厂 
| | | 调制 器 : 
| 逻辑 控制 单元 
;| 解 调 器 | 
电压 调节 器 | EEPROM ROM 


10.3 ”RFID 电子 标签 的 结构 


(1) 天 线 : 用 来 接收 由 阅读 器 发 送 的 信号 ,并 把 要 求 的 数据 传送 回 阅 读 器 。 

(2) 电压 调节 器 : 把 由 阅读 器 发 送 的 射频 信号 转换 为 直流 电源 ,并 经 大 电容 存储 能 
量 ,再 通过 稳 压 电路 以 提供 稳定 的 电源 。 

(3) 调制 器 : 逻辑 控制 电路 送出 的 数据 经 调制 电路 调制 后 加 载 到 天 线 返 回 给 阅 
读 器 。 

(4) 解 调 器 : 去 除 载波 信号 ,取出 调制 信号 。 

(5) 逻辑 控制 单元 : 译 码 阅读 器 送 来 的 信号 ,并 依据 要 求 返 回 数据 给 阅读 器 。 

(6) 存储 单元 : 包括 EEPROM 和 ROM ,用 于 系统 运行 及 存放 识别 数据 。 


2. 阅读 器 


阅读 器 (reader) 又 称 为 读 写 器 ,主要 负责 与 电子 标签 的 双向 通信 ,同时 接收 来 自主 机 
系统 的 控制 指令 。 阅 读 器 的 频率 决定 了 RFID 系统 工作 的 频段 ,其 功率 决定 了 射频 识别 
的 有 效 距 离 。 阅 读 器 根据 使 用 的 结构 和 技术 的 不 同 可 以 是 只 读 或 读 / 写 装置 , 它 是 RFID 
系统 的 信息 控制 和 处 理 中 心 。 阅 读 器 通常 由 射频 接口 .逻辑 控制 单元 和 天 线 3 部 分 组 
成 ,如 图 10.4 所 示 。 

1) 射频 接口 

射频 接口 模块 的 主要 任务 和 功能 如 下 : 

(1) 产生 高 频 发 射 能 量 , 激 活 电 子 标签 并 为 其 提供 能 量 。 

(2) 对 发 射 信号 进行 调制 ,将 数据 传输 给 电子 标签 。 

(3) 接收 并 调制 来 自 电子 标签 的 射频 信号 。 
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天 线 | 频 接口 。 : 】 还 辑 控制 单元 
二 1 用量 器 | 。: 知 控 制 器 
| [| : 加 
: Le 发 生 器 | : : : = 
电源 | : - 1 二 -一 
一 一 [+| 电压 调节 器 | : ;| 存储 单元 
图 10.4 标签 阅读 器 的 结构 
在 射频 接口 中 有 两 个 分 隔 开 的 信号 通道 ,分 别 承 担 电 子 标签 和 阅读 器 之 间 两 个 方向 
的 数据 传输 。 


2) 逻辑 控制 单元 

逻辑 控制 单元 也 称 读 写 模块 ,主要 任务 和 功能 如 下 : 

(1) 与 应 用 系统 软件 进行 通信 ,并 执行 从 应 用 系统 软件 发 送 来 的 指令 。 

(2) 控制 阅读 器 与 电子 标签 的 通信 过 程 。 

(3) 信号 的 编码 与 解码 。 

(4) 对 阅读 器 和 标签 之 间 传 输 的 数据 进行 加 密 和 解密 。 

(5) 执行 防 碰 撞 算 法 。 

(6) 对 阅读 器 和 标签 的 身份 进行 验证 。 

3) 天 线 

天 线 是 一 种 能 将 接收 到 的 电磁 波 转换 为 电流 信号 ,或 者 将 电流 信号 转换 成 电磁 波 发 


射出 去 的 装置 。 在 RFID 系统 中 ,阅读 器 必须 通过 天 线 来 发 射 能 量 , 以 形成 电磁 场 , 通 过 


电磁 场 对 电子 标签 进行 识别 。 因 此 ,阅读 器 天 线 所 形成 的 电磁 场 范 围 即 为 阅读 器 的 可 读 
区 域 。 


3. 数据 处 理子 系统 
数据 处 理子 系统 包括 中 间 件 、 信 息 处 理 系 统 和 数据 库 。 在 RFID 系统 的 应 用 支撑 软 


件 中 ,除了 运行 在 标签 和 阅读 器 上 的 部 分 软件 外 , 介 于 阅读 器 与 企业 应 用 之 间 的 中 间 件 
(middleware) 是 其 一 个 重要 组 成 部 分 。RFID 系统 中 间 件 的 作用 是 将 底层 RFID 硬件 和 
上 层 企业 应 用 软件 结合 在 一 起 。 中 间 件 的 主要 任务 是 对 阅读 器 发 送 的 与 标签 相关 的 事 
件 .数据 进行 过 滤 `. 汇 集 和 计算 ,减少 从 阅读 器 传 往 企 业 应 用 的 海量 原始 数据 ,增加 抽象 


出 的 有 意义 的 信息 量 。 除 通常 的 功能 外 ,中 间 件 层 还 具有 以 下 特定 功能 : 


(1) 使 阅读 / 写 入 更 加 可 靠 。 

(2) 把 数据 通过 阅读 器 网 络 推 (push) 或 者 拉 (pull) 到 正确 位 置 (类 似 路 由 器 )。 
(3) 监测 和 控制 阅读 器 ;提供 安全 读 写 操 作 。 

(4) 降低 射频 干扰 。 
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(5) 处 理 标签 型 和 阅读 器 型 事件 。 

(6) 应 用 通知 。 

(7) 接收 并 且 转 发 来 自 应 用 的 中 断 指 令 。 

(8) 向 用 户 提供 异常 告 

从 体系 结构 上 讲 ,RFID 中 间 件 还 可 以 分 为 多 个 子 层 , 包 括 边缘 层 和 集成 层 。 边 缘 层 
与 集成 层 的 分 离 可 以 提高 可 伸缩 性 并 降低 客户 成 本 ,因为 边缘 层 既 是 轻 量 级 的 ,又 是 成 
本 低 的 。 


4. RFID 系统 的 关键 技术 


1) 低 功 耗 技术 

无 论 是 有 源 还 是 无 源 工作 的 RFID 模块 ,其 最 基本 的 要 求 都 是 具备 低 功 耗 的 特点 ， 
以 提高 标签 的 寿命 .扩大 应 用 场合 和 提高 标签 的 识别 距离 。 在 实际 应 用 中 ,降低 功 耗 和 
保证 一 定 的 有 效 通信 距离 是 同等 重要 的 ,因此 标签 内 的 芯片 一 般 都 采用 低 功 耗 工 艺 和 高 
效 节能 技术 。 例 如 ,在 电路 设计 中 采用 ”休眠 模式 ”的 设计 技术 ,在 硬件 电路 中 采用 SMIC 
0.18pm 标准 CMOS 工艺 设计 实现 存储 器 和 全 CMOS 结构 的 电流 受 限 型 环形 振荡 器 等 。 

2) 封装 技术 

由 于 RFID 标签 中 需要 安装 天 线 .芯片 和 其 他 特殊 部 件 ,为 确保 标签 的 大 小 .厚度 . 柔 
韧性 和 高 温 高 压 工艺 中 芯片 电路 的 安全 性 ,需要 特殊 的 封装 技术 和 专门 设备 。 标 签 的 封 
装 不 但 不 受 标准 形状 和 尺寸 的 限制 ,而 且 其 构成 也 是 千差万别 的 ,甚至 需要 根据 各 种 不 
同 需 求 进行 特殊 的 设计 。 


1013 FFD 系统 的 防 碰 撞 方 法 


如 果 在 RFID 系统 中 有 多 个 阅读 器 和 多 个 标签 ,就 可 能 会 发 生 碰 撞 。 碰 撞 可 分 为 两 
种 形式 : 一 种 是 同一 标签 同时 收 到 来 自 不同 阅 读 器 发 出 的 命令 ,这 种 碰撞 称 为 阅读 器 碰 
撞 , 相 应 的 防磁 撞 算 法 称 为 阅读 器 防 碰撞 算法 ; 另 一 种 是 同一 阅读 器 同时 收 到 不 同 标签 
发 出 的 响应 ,这 种 碰撞 称 为 标签 磁 撞 ,相应 的 防磁 撞 算 法 称 为 标签 防 碰 撞 算 法 。 由 于 阅 
读 器 碰撞 发 生 的 概率 较 小 且 阅 读 器 本 身 的 处 理 能 力 较 强 , 因 此 阅读 器 碰撞 问题 较 容易 解 
决 ,RFID 系统 需要 防范 的 主要 是 标签 防 碰撞 。 

当 阅 读 器 识别 范围 内 有 多 个 待 识别 标签 时 ,针对 阅读 器 发 出 的 查询 指令 ,每 个 标签 
都 会 作出 响应 。 标 签 的 响应 信息 在 阅读 器 的 接收 端 会 产生 混 琶 现象 ,从 而 使 阅读 器 无 法 
正确 识别 任意 一 个 标签 的 信息 。RFID 系统 必须 采用 一 定 的 策略 或 算法 来 避免 碰撞 现象 
的 发 生 ,常用 的 策略 是 : 控制 标签 的 响应 信息 逐个 通过 射频 信道 与 阅读 器 通信 。 防 碰撞 
算法 主要 解决 的 问题 是 如 何 快速 和 准确 地 从 多 个 标签 中 选 出 一 个 与 阅读 器 进行 数据 通 
信 ,并 在 一 定时 间 内 完成 对 所 有 标签 的 识别 。 

为 了 解决 无 线 通信 系统 中 多 信道 存 取 的 问题 ,常用 的 方法 有 空 分 多 路 法 (Space 
Division Multiplexing,SDM) 、 频 分 多 路 法 (Frequency Division Multiplexing,FDM) 、 时 
分 多 路 法 (Time Division Multiplexing，TDM) 和 码 分 多 路 法 (Code Division 
Multiplexing,CDM)4 种 ,RFID 系统 的 标签 防 碰撞 算法 也 可 相应 地 分 为 4 种 。 但 由 于 受 
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技术 和 成 本 的 限制 ,尤其 是 标签 生产 成 本 的 限制 ,一 般 以 时 分 多 路 法 最 为 常用 。RFID 系 
统 主 要 分 为 基于 Aloha 的 防 碰 撞 算 法 .基于 树 的 防 碰撞 算法 以 及 基于 树 和 Aloha 的 混合 
防 碰撞 算法 3 类 。 

Aloha 算法 是 一 种 随机 接 入 方法 ,属于 时 分 多 路 法 ,其 基本 思想 是 采取 标签 先 发 言 的 
方式 , 当 标 签 进入 阅读 器 的 识别 区 域 时 自动 向 读 写 器 发 送 其 自身 的 ID 号 ,在 标签 发 送 数 
据 的 过 程 中 ,车 有 其 他 标签 也 在 发 送 数据 ,那么 发 生 信号 重生 会 导致 完全 碰撞 或 部 分 碰 
撞 , 读 写 器 检测 接收 到 的 信号 是 否 存在 碰撞 ,一 旦 发 生 碰 撞 , 读 写 器 就 发 送 命令 让 标签 停 
止 发 送 ,随机 等 待 一 段 时 间 后 再 重新 发 送 以 减少 碰撞 。 

基于 树 的 防 碰撞 算法 又 称 为 读 写 器 控制 法 ,其 前 提 是 要 辨认 出 阅读 器 中 数据 碰撞 的 
准确 位 置 ,因此 ,选用 合适 的 位 编码 方法 很 重要 。 曼 彻 斯 特 编码 的 位 窗 值 由 于 上 升 /下 降 
沿 倒 加 抵消 , 读 写 器 只 收 到 载波 信号 ,这 样 就 能 准确 地 找到 碰撞 位 ,所 以 为 二 进 制 树 搜索 
算法 所 采用 。 其 算法 要 点 如 下 : @ 读 写 器 发 送 作为 查询 标 (REQUEST) 的 参考 ID( 序 列 
号 ), 标签 将 自己 的 ID 与 之 相 比 较 , 若 自己 的 ID 小 于 或 等 于 参考 ID 就 回 送 自己 的 ID; 
@ 读 写 器 从 最 高 位 开始 按 位 判断 是 否 发 生 碰 撞 ,将 标准 ID 的 碰撞 位 清 零 。 重 复 若 干 次 
之 后 就 可 以 找到 一 个 确定 的 ID; @ 将 确定 的 ID 用 SELECT 发 送 给 所 有 的 电子 标签 ,只 
有 选中 的 标签 回应 READ_DATA ,将 数据 发 送 给 读 写 器 , 读 完 数据 后 ,执行 UNSELECT 
不 再 响应 任何 命令 。 这 样 就 完成 了 一 次 防 碰 撞 , 重 复 几 次 就 能 将 所 有 的 电子 标签 识别 
出 来 。 


102 RHD 系 统 的 安全 


由 于 RFID 系统 特殊 的 非 接触 性 ,使 得 标签 和 读 写 器 之 间 的 通信 信道 存在 着 很 大 的 
安全 隐患 ,数据 的 真实 性 、 完 整 性 和 用 户 隐私 性 等 都 得 不 到 保障 。 而 受 RFID 系统 硬件 条 
件 与 成 本 限制 ,使 RFID 安全 认证 机 制 不 能 简单 借鉴 一 般 计算 机 网 络 的 安全 认证 协议 。 


1021 RFD 的 安全 性 隐患 


RFID 系统 存在 的 主要 安全 隐患 包括 : 中 标签 信息 被 未 经 授权 的 用 户 访问 ,使 标签 
数据 的 机 密 性 丧失 ,导致 用 户 的 隐私 泄露 ; @ 通 过 重 写 标签 以 算 改 物品 的 信息 ; @@ 使 用 
特制 设备 伪造 标签 应 答 , 以 欺骗 阅读 器 ,从 而 制造 物品 存在 的 假象 ; @ 根 据 RFID 前 后 向 
信道 的 不 对 称 性 远 距离 窃听 标签 信息 ; @ 通 过 干扰 RFID 工作 频率 实施 拒绝 服务 攻击 ， 
破坏 系统 的 可 用 性 ;@ 通 过 发 射 特定 电磁 波 破坏 标签 等 ; 由 于 RFID 系统 的 读 取 速度 
快 ,使 得 攻击 者 可 以 迅速 对 商场 中 所 有 商品 进行 扫描 并 跟踪 变化 ,从 而 用 来 窃取 用 户 的 
商业 机 密 。 


1022 RHD 系 统 安全 需求 


RFID 标签 与 读 写 器 之 间 的 通信 可 能 会 受到 很 多 因素 的 干扰 ,REFID 系统 面临 的 安全 
问题 主要 包括 如 下 几 个 方面 : 
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(1) 数据 保密 性 需求 。RFID 标签 不 应 当 向 未 经 授权 的 非法 读 写 器 泄露 任何 机 密 信 
息 ,完善 的 RFID 系统 安全 认证 协议 最 基本 的 功能 就 是 ,保障 标签 中 所 包含 的 敏感 信息 仅 
能 被 系统 合法 的 读 写 器 读 取 并 进行 相应 处 理 操作 。 而 目前 除 ISO14443 标准 的 高 端 系统 
外 ,普通 的 读 写 器 和 标签 之 间 的 无 线 通信 都 是 没有 安全 保护 的 ,这 些 没有 安全 机 制 保障 
的 RFID 电子 标签 会 很 轻易 地 向 通信 范围 内 的 读 写 器 泄漏 标签 内 容 和 其 中 的 机 密 数 据 。 

(2) 数据 完整 性 问题 。 是 指 安全 协议 必须 保证 数据 在 传输 过 程 中 不 会 被 攻击 者 偶然 
或 蓄意 地 自 改 、 删 除 、 插 入 和 替换 等 。 该 特性 用 于 保障 在 标签 和 读 写 器 的 通信 过 程 中 信 
息 的 内 在 关联 一 致 性 。 在 RFID 系统 中 ,通常 使 用 带 有 共享 密 钥 的 散 列 算法 ,使 得 对 原 有 
明文 数据 的 任何 细微 算 改 或 更 换 都 会 得 到 一 个 完全 不 同 的 结果 ,从 而 不 能 通过 协议 的 安 
全 验证 。 

(3) 数据 真实 性 问题 。 是 指 要 求 读 写 器 在 安全 协议 的 框架 下 获得 的 标签 信息 是 真实 
的 ,可 以 保证 该 标签 是 合法 的 授权 标签 ,获得 的 信息 也 是 真实 可 靠 的 信息 。 攻 击 者 可 以 
从 截获 的 标签 和 读 写 器 间 的 通信 信息 中 获取 机 密 数 据 , 从 而 重 构 电 子 标签 进行 非法 操 
作 。 如 利用 有 伪造 标签 的 物品 替代 实际 物品 ,或 通过 重 写 原 电 子 标签 的 数据 ,把 低 价 商 
品 标签 的 信息 替换 成 高 价 商品 标签 的 信息 以 获取 非法 利益 。 同 时 ,攻击 者 也 可 以 通过 某 
些 方式 隐藏 标签 ,使 读 写 器 无 法 正常 接 和 人 读 写 标签 ,从 而 成 功 地 进行 物品 转移 。 读 写 器 
只 有 通过 身份 验证 才能 确保 数据 是 从 授权 的 标签 发 过 来 的 ,反之 ,标签 也 必须 对 读 写 器 
进行 身份 验证 。 

(4) 用 户 隐私 性 问题 。 攻 击 者 可 以 通过 非法 读 写 器 监听 携带 私密 数据 的 RFID 电子 
标签 ,将 这 些 信 息 截获 后 进行 分 析 , 以 获取 当前 标签 用 户 的 隐秘 数据 。 安 全 的 RFID 系统 
应 该 能 够 保障 用 户 的 隐私 信息 不 被 泄漏 ,或 者 相关 经 济 实体 的 实际 商业 利益 不 被 破坏 。 

(5) 前 向 与 后 向 安全 性 问题 。 由 于 低 成 本 标签 无 法 抵御 攻击 者 的 强力 破解 ,因此 攻 
击 者 可 能 获得 标签 的 内 部 信息 ,但 强力 破解 必然 付出 高 昂 的 时 间 代 价 。 即 使 攻击 者 侥幸 
获取 了 当前 隐私 , 若 对 之 前 或 之 后 的 信息 加 以 保护 ,攻击 者 将 得 不 到 完整 信息 链 , 以 较 大 
代价 却 只 能 得 到 过 期 一 次 性 、 无 用 的 信息 ,这 种 攻击 显然 得 不 偿 失 ,因此 前 向 与 后 向 安 
全 性 极 甚 重要。 前 向 与 后 向 安全 性 分 别 指 攻 击 者 即使 掌握 了 标签 当前 的 内 部 信息 ,他 也 
不 能 够 解析 出 该 标签 以 后 或 以 前 的 信息 ,从 而 无 法 通过 对 比 标签 的 当前 数据 和 历史 数据 
来 分 析 使 用 者 的 隐私 。 


1023 FFD 系统 攻击 模式 


RFID 面临 的 主要 攻击 手段 分 为 主动 攻击 和 被 动 攻 击 两 大 类 。 

主动 攻击 是 使 RFID 应 用 系统 处 于 非 正 常 使 用 的 状态 。 主 要 包括 以 下 几 类 ， 

(1) 版 图 重 构 攻 击 : 通过 分 析 RFID 芯片 上 的 连接 模式 和 跟踪 金属 连 线 , 穿 过 可 见 
模块 的 边界 ,攻击 者 可 快速 识别 RFID 芯片 的 基本 结构 。 

(2) 探测 攻击 : 攻击 者 利用 微 探 针 跟 踪 总 线 上 的 信号 ,从 而 有 可 能 截获 有 用 信息 。 

(3) 故障 攻击 : 通过 瞬 态 时 钟 . 瞬 态 电源 盒 以 及 瞬 态 外 部 电场 等 技术 使 一 个 或 多 个 
触发 器 处 于 病态 ,进一步 破坏 传输 到 寄存 器 和 存储 器 中 的 数据 。 

(4) 拒绝 服务 攻击 : 是 使 用 某 种 手段 使 电子 标签 或 后 台数 据 库 两 者 或 两 者 之 一 处 于 
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.1: 全 应 几 


忙 状态 ,从 而 阻 断 正 常 的 数据 通信 。 

被 动 攻击 是 指 通过 非法 手段 获取 RFID 标签 中 的 隐私 信息 或 物品 信息 ,但 并 不 影响 
RFID 系统 自身 的 正常 运行 。 主 要 包括 以 下 几 类 : 

(1) 重 放 攻 击 (reply attack): 攻击 者 伪装 成 读 写 器 , 重 放 读 写 器 对 标签 的 认证 请 求 ， 
或 伪装 成 电子 标签 , 重 放 标签 对 读 写 器 的 认证 响应 。 

(2) 跟踪 攻击 (tracking attack) : 攻击 者 可 以 伪装 成 读 写 器 发 送 虚 假 认证 请 求 ,诱骗 
标签 发 送 相应 的 认证 响应 ,并 根据 各 次 响应 的 内 容 来 跟踪 标签 的 行为 。 基 于 密 钥 阵 列 的 
安全 认证 协议 可 以 有 效 地 抵御 这 种 跟踪 攻击 。 

(3) 算 改 攻击 (blocking and proofing attack) : 是 指 攻击 者 部 分 或 全 部 算 改 了 通信 内 
容 。 但 由 于 不 知道 认证 密 钥 ,攻击 者 无 法 将 原 通信 信息 修改 成 加 密 后 的 另外 一 条 合法 信 
息 , 所 以 算 改 攻击 一 般 只 会 造成 认证 响应 失败 ,而 不 会 引起 认证 结果 错误 。 

(4) 系统 内 攻击 (inner attack): 系统 内 合法 授权 的 电子 标签 或 读 写 器 之 间 的 假冒 、 
伪造 和 算 改 操作 被 称 为 系统 内 攻击 。 


1024 RHD 系 统 现 有 的 安全 机 制 
1. EPC Global Glass-1 Gen-2 协议 


RFID 系统 ,特别 是 低 成 本 被 动 标签 (如 EPC global Classl Gen2 标签 ) , 因 工 作 在 开 
放 无 线 网 络 环境 中 ,容易 受到 两 类 隐私 侵犯 : 位 置 隐私 侵犯 和 信息 隐私 侵犯 。 位 置 隐私 
侵犯 是 读 写 器 未 经 RFID 标签 识别 客体 授权 ,非法 跟踪 、 分 析 标 签 客体 行为 的 侵犯 行为 。 
信息 隐私 侵犯 是 指 阅读 器 未 经 RFID 标签 识别 客体 授权 ,非法 获取 标签 数据 的 侵犯 行为 。 
EPC Global Class-1 Gen-2 协议 中 规定 了 标签 和 读 写 器 之 间 的 通信 过 程 。 读 写 器 采用 选 
择 .存盘 .访问 3 个 操作 管理 标签 群 ,而 标签 对 应 读 写 器 的 操作 有 就 绪 、 仲 裁 、 应 答 、 确 认 、 
开放 、 保 护 、 销 毁 7 种 状态 。 

上 电 后 标签 处 于 就 绪 状 态 , 读 写 器 发 出 请 求 时 通过 防 碰撞 算法 选择 对 应 的 唯一 的 标 
签 进行 访问 ,标签 进入 仲裁 状态 。 如 果 读 写 器 继续 发 出 有 效 的 命令 请 求 ,标签 就 进入 应 
答 状 态 ,并 返回 一 个 随机 数 rnd, 读 写 器 将 会 发 送 包 含 所 有 {rnd} 的 命令 ,标签 比较 接收 到 
的 {rnd) 与 自身 的 rnd, 如 果 相 等 则 反 向 散射 其 存储 的 PC( 协 议 -控制 字 )、EPC( 产 品 电子 
编码 ) 等 信息 ,进入 确认 状态 。 读 写 器 可 以 继续 向 标签 发 送 请 求 使 之 进入 开放 状态 ,通过 
Read、Write 等 命令 对 标签 进行 读 写 ,如 果 读 写 器 持 有 者 拥有 访问 密码 ,还 可 以 使 标签 进 
人 保护 状态 ,或 者 通过 销毁 命令 进入 永久 失效 的 状态 。 

EPC 协议 对 标签 数据 的 读 取 操 作 都 是 以 明文 方式 传送 的 , 故 会 将 其 中 保存 的 信息 轻 
易 泄露 给 攻击 者 。 虽 然 读 写 器 在 对 标签 进行 写 操作 时 传送 的 是 句柄 {rnd} 与 待 写 入 信息 
的 异 或 数据 ,但 攻击 者 很 容易 截获 该 句柄 信息 以 计算 出 实际 的 写 入 信息 ,甚至 可 以 冒充 
合法 读 写 器 对 标签 进行 非法 操作 。 所 以 ,EPC 协议 并 不 能 满足 RFID 系统 的 各 项 安全 需 
求 , 仅 能 满足 读 写 器 和 标签 之 间 安 全 性 不 高 的 简易 认证 需求 。 
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2. 物理 安全 机 制 


物理 安全 机 制 是 利用 RFID 系统 中 各 部 分 的 物理 特性 保证 系统 安全 的 一 种 安全 方 
法 ,主要 保护 系统 中 最 薄弱 的 标签 的 安全 性 。 

比较 典型 的 物理 机 制 的 方法 有 静电 屏蔽 .主动 干扰 Kill 命令 机 制 . 裁 前 标签 .休眠 
与 激活 .距离 检测 手段 .删除 标签 和 阻塞 标签 等 。 基 于 物理 方法 的 硬件 安全 机 制 也 存在 
很 多 问题 ,如 主动 干扰 方法 可 能 在 无 意 间 破坏 其 他 正常 合法 的 报警 和 读 写 器 之 间 的 通 
信 。 通 过 Kill 命令 机 制 对 标签 的 销毁 操作 是 不 可 逆 的 ,因此 标签 不 能 继续 使 用 ;超出 阻 
塞 标签 隐私 保护 范围 的 标签 通信 也 是 得 不 到 保障 的 。 


3. 基于 密码 技术 的 安全 机 制 


在 RFID 系统 的 应 用 中 ,信息 的 保密 性 、 完 整 性 以 及 前 向 安全 性 等 都 涉及 密码 技术 。 
密码 技术 主要 可 实现 信息 的 传输 保护 .认证 .数字 签名 以 及 访问 控制 等 ,其 中 信息 的 传输 
保护 主要 存在 于 RFID 基本 系统 中 ,可 保护 读 写 器 和 电子 标签 之 间 传 输 的 命令 和 数据 ,而 
信息 的 认证 及 访问 控制 则 侧重 保护 与 电子 标签 相关 的 应 用 。RFID 应 用 系统 主要 使 用 了 
以 下 几 种 方式 来 实现 信息 的 传输 保护 : 

(1) 认证 方式 。 在 读 写 器 和 电子 标签 之 间 传 输 的 信息 加 上 相应 的 消息 认证 码 ,传输 
的 是 明文 ,不 具 保 密 性 ,但 是 附加 的 消息 认证 码 具有 信息 认证 和 检 错 纠 错 等 功能 。 

(2) 加 密 方式 。 使 用 一 定 的 算法 对 信息 加 密 后 再 进行 传输 ,具有 保密 性 ,但 不 具备 检 
错 纠 错 等 功能 。 

(3) 混合 方式 。 一 般 采 用 先 认 证 后 加 密 的 方式 进行 。 

根据 不 同 的 安全 性 和 复杂 性 以 及 实现 的 成 本 ,可 以 将 应 用 于 RFID 系统 的 安全 认证 
协议 分 为 轻 量 级 、 中 量 级 和 重量 级 认证 协议 。 

(1) 轻 量 级 协议 。 具 有 代表 性 的 是 SASI 协议 (Strong Authentication and Strong 
Integrity, 强 认证 和 强 完整 性 ) 和 T2MAP 协议 (Two-Message Mutual Authentication 
Protocol, 两 消息 互 认 证 协议 ) 。 轻 量 级 认证 协议 因为 主要 考虑 系统 的 成 本 ,所 以 安全 性 
较 低 ,主要 应 用 在 商品 零售 和 物流 领域 。 

(2) 中 量 级 认证 协议 。 主 要 包括 散 列 锁 (Hash-lock) 协 议 、 随 机 散 列 锁 协 议 、 散 列 链 
(hash-chain) 协 议 、 基 于 散 列 的 ID 变化 协议 .LCAP 协议 、 分 布 式 RFID 询问 -应 答 协 议 、 
数字 图 书馆 安全 协议 等 。 其 中 ,前 3 种 协议 易 受 攻击 ,无 法 满足 较 高 的 安全 需求 ;中 间 两 
种 协议 虽 能 满足 基本 的 安全 要 求 , 但 是 应 用 场合 有 限 ,例如 不 适合 分 布 式 应 用 环境 ;后 两 
种 协议 也 能 满足 安全 需求 ,并 适用 于 分 布 式 应 用 环境 ,但 是 成 本 较 高 。 

在 “Hash-Lock” 协 议 中 ,通过 使 用 元 标识 (meta ID) 来 代替 真实 的 标签 ID 以 避免 信 
息 泄漏 ,每 个 标签 都 拥有 一 个 自己 的 访问 密 钥 key 和 一 个 单 向 散 列 函数 及, 其 中 meta ID 
一 瓦 (key) ; 当 阅 读 器 询问 标签 时 ,标签 发 送 meta ID 作为 响应 ,然后 阅读 器 通过 查询 后 台 
数据 库 找到 与 meta ID 匹配 的 (meta ID,ID,key) 记 录 , 再 将 key 发 送 至 标签 ,标签 在 验证 
key 之 后 再 将 自己 的 真实 ID 发 送 给 阅读 器 ;该 方法 的 缺陷 在 于 key、ID 均 以 明文 形式 发 
送 , 因 此 容易 被 窃听 。 
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在 “随机 Hash-Lock” 协 议 中 , 当 阅 读 器 询问 标签 时 ,标签 发 送 一 个 随机 数 以 及 其 标 
签 ID 与 该 随机 数 的 散 列 值 给 阅读 器 ,然后 阅读 器 通过 后 端 数 据 库 获得 所 有 的 标签 ID 并 
通过 计算 这 些 标签 ID 与 该 随机 数 的 散 列 值 来 获知 对 应 的 标签 ID, 最 后 将 计算 得 到 的 标 
签 ID 发 送 给 标签 进行 验证 , 若 验证 通过 , 则 标签 将 自己 的 真实 ID 发 送 给 阅读 器 。 该 方 
法 的 缺陷 是 最 后 的 ID 也 是 以 明文 的 形式 发 送 , 容 易 被 窃听 者 获取 。 

在 散 列 链 协议 中 ,需要 标签 与 后 台数 据 库 共 享 一 个 初始 的 秘密 值 S,: , 当 阅 读 器 第 j 
次 询问 标签 时 ,标签 使 用 当前 秘密 值 S,, 计算 cv =G(S,v ) 并 更 新 其 秘密 值 为 Si+ 一 
电 (S,,;) ,然后 将 ov 发 送 给 阅读 器 ,阅读 器 转发 给 后 端 数据 库 , 再 由 后 端 数据 库 来 计 
算是 否 存在 一 个 j 与 标签 ID, 满足 as 一 G( 瓦 CS)), 若 存在 这 样 的 7 与 标签 ID,, 则 
通过 验证 并 将 ID, 发 送 给 阅读 器 ,其 中 G 和 互 是 单 向 散 列 函数 ;该 方法 的 优点 是 标签 具 
有 自主 更 新 能 力 ,避免 了 标签 隐私 信息 的 泄漏 ;缺陷 是 只 要 攻击 者 截获 了 av 就 可 伪装 标 
签 通过 验证 ,因此 易 受 重 放 和 假冒 攻击 。 

(3) 重量 级 认证 协议 。 最 具 代 表 性 的 是 基于 DES 等 对 称 加 密 算法 的 “三 通 互相 鉴 
别 ?协议 和 基于 RSA 算法 的 认证 协议 。 其 中 ,“ 三 通 互相 鉴别 ”协议 虽 可 有 效 抵抗 来 自 系 
统 外 部 的 伪造 和 攻击 ,但 是 读 写 器 之 间 的 伪造 和 算 改 等 系统 内 部 的 问题 还 是 没有 得 到 解 
决 ; 而 基于 RSA 算法 的 认证 协议 虽 有 和 较 高 的 安全 强度 ,但 是 采用 这 种 协议 的 RFID 系统 
标签 电路 需要 10 000 个 以 上 的 逻辑 门 ,成 本 过 高 。 另 外 ,国外 文献 中 提出 了 基于 椭圆 曲 
线 离 散 对 数 难 题 的 Schnorr 协议 .Okamoto 协议 以 及 EC-RAC 协议 。 其 中 ,Schnorr 协议 
和 Okamoto 协议 均 属 于 离线 验证 协议 ,都 被 证 明 存在 着 无 法 抵御 追踪 攻击 的 问题 。 只 要 
攻击 者 截获 了 基点 ,就 可 以 通过 计算 得 到 公 钥 ,从 而 对 标签 进行 追踪 。EC-RAC 协议 在 
Schnorr 协议 和 Okamoto 协议 的 基础 之 上 提出 ,本 是 为 了 解决 追踪 问题 ,但 随后 仍 被 证 
明 可 以 通过 连续 两 次 向 电子 标签 发 送 认 证 请 求 的 方式 , 求 出 能 够 唯一 确定 电子 标签 身份 
的 关键 值 , 故 追踪 风险 依然 存在 。 表 10. 1 对 各 种 RFID 安全 认证 协议 的 安全 性 进行 了 
比较 。 


表 10.1 各 种 RFID 安全 认证 协议 的 安全 性 比较 


协议 名 称 重 放 攻击 | 跟踪 攻击 | 算 改 攻击 | 内 部 攻击 | 认证 方向 
SASI 协议 x x x . 单 向 
散 列 锁 协 议 x XK 尖 单 向 
随机 Hash-lock x V x 这 单 向 
散 列 链 协 议 x Vv x x 单 向 
分 布 式 RFID 询问 -应 答 协 议 NA Vv Vv x 双向 
LCAP 协议 V V/ ~ x 双向 
Schnorr 协议 .Okamoto 协议 NA x ~V x 单 向 
“三 通 互相 鉴别 ?协议 JV Vv V/ x 双向 
基于 RSA 算法 的 协议 Vv JV Vv Vv 双向 
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由 表 10.1 各 协议 的 对 比 可 知 : SASI 协议 、.T2MAP 协议 和 散 列 锁 协 议 无 法 应 对 各 
类 攻击 ;随机 散 列 锁 协 议和 散 列 链 协 议 只 解决 了 跟踪 攻击 的 威胁 ;分 布 式 RFID 询问 -应 
答 协议 .LCAP 协议 和 ”* 三 通 互相 鉴别 ?协议 虽 可 满足 基本 的 安全 需求 ,但 面 对 内 部 攻击 
却 无 能 为 力 ;Schnorr、Okamoto 和 EC-RAC 协议 均 无 法 抵御 追踪 攻击 。 而 具有 高 安全 性 
的 基于 RSA 的 认证 协议 则 在 加 解密 速度 和 存储 开销 上 存在 严重 不 足 。 


103 无 线 传 感 嚣 网 络 的 安全 


国际 电信 联盟 (ITU) 在 其 发 布 的 物 联 网 报告 中 指出 ,无 线 传感器 网 络 (Wireless 
Sensor Network, WSN) 是 物 联 网 的 第 二 个 关键 技术 。RFID 的 主要 功能 是 对 物体 进行 识 
别 ; 而 无 线 传感器 网 络 的 主要 功能 则 是 感知 物体 的 状态 变化 。 通 俗 地 说 ,传感器 是 可 以 
感知 外 部 环境 参数 的 小 型 计算 节点 ,是 一 种 能 把 物理 量 或 化 学 量 转变 成 便于 利用 的 电信 
号 的 器 件 。 传 感 器 网 络 是 大 量 传感器 节点 构成 的 网 络 , 用 于 不 同 地 点 ,不 同 种 类 参数 的 
感知 或 数据 的 采集 ;而 无 线 传 感 器 网 络 则 是 利用 无 线 通信 技术 来 传递 感知 数据 的 网 络 ， 
它 可 实现 大 范围 .多 位 置 的 感知 。 

无 线 传感器 网 络 是 一 种 分 布 式 传 感 网 络 , 它 的 末梢 是 可 以 感知 和 检查 外 部 世界 的 传 
感 器 。 散 列 中 的 传感器 通过 无 线 方式 通信 ,因此 网 络 设置 灵活 ,设备 位 置 可 以 随时 更 改 ， 
还 可 以 与 互联 网 进行 有 线 或 无 线 方式 的 连接 。 


1031 无 线 传 感 器 网 络 概述 


无 线 传感器 网 络 是 集成 了 传感器 技术 .微机 电 系 统 (Micro-Electro-Mechanical 
System,MEMS) 技 术 .无线 通 信 技 术 以 及 分 布 式 信息 处 理 技术 于 一 体 的 新 型 网 络 。 随 着 
科技 的 发 展 , 信 息 的 获取 变 得 更 加 纷繁 复杂 。 所 有 保存 事物 状态 .过 程 和 结果 的 物理 量 
都 可 以 用 信息 来 描述 。 传 感 器 的 发 明和 应 用 极 大 地 提高 了 人 类 获取 信息 的 能 力 。 传 感 
器 信息 获取 从 单一 化 到 集成 化 、 微 型 化 ,进而 实现 智能 化 、 网 络 化 ,成 为 获取 信息 的 一 个 
重要 手段 。 无 线 传 感 器 网 络 在 很 多 场合 (如 军事 感知 战场 .环境 监控 .道路 交通 监控 、 勘 
探 、 医 疗 等 ) 都 承担 着 重要 的 作用 。 

散 列 一 般 由 部 署 在 监测 区 域内 的 大 量 廉价 微型 传感器 节点 组 成 ,通过 无 线 通信 方式 
形成 一 个 多 跳 的 自 组 织 网 络 系统 ,其 目的 是 协作 地 感知 ,采集 和 处 理 网 络 覆 盖 区 域 中 被 
感知 对 象 的 信息 ,并 发 送 给 观察 者 。 传 感 器 ,感知 对 象 和 观察 者 构成 了 无 线 传 感 器 网 络 
的 3 个 要 素 。 

无 线 传感器 网 络 一 般 具 有 众多 类 型 的 传感器 ,它们 可 探测 包括 地 震 、 电 磁 、 温 度 、 湿 
度 .噪声 . 光 强 度 .压力 .土壤 成 分 .移动 物体 的 大 小 .速度 和 方向 等 周边 环境 中 各 种 各 样 
的 现象 。 基 于 MEMS 的 微 传 感 技术 和 无 线 互 联网 技术 为 无 线 传感器 网 络 赋予 了 广阔 的 
应 用 前 景 。 这 些 潜 在 的 应 用 领域 可 以 归纳 为 军事 .航空 反恐、 防爆 救灾、 环境 、 医 疗 、 保 
健 、 家 居 工业 .商业 等 各 个 领域 。 
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1. 传感器 节点 的 物理 结构 


在 不 同 的 应 用 场景 中 ,传感器 节点 的 组 成 不 尽 相 同 ,但 是 从 结构 上 来 说 一 般 包括 4 
个 部 分 : 数据 采集 .数据 处 理 .数据 传输 和 电源 。 感 知 信号 的 形式 通常 决定 了 传感器 的 类 
型 ,而 现 有 的 传感器 节点 的 处 理 器 通常 包括 内 入 式 CPU, 如 ARM 公司 的 ARM 系列 、 
Motorola 的 68HC16 和 Intel 公司 的 8086 等 。 数 据 传 输 单 元 主要 由 低 功 耗 , 短 距离 的 无 
线 模块 组 成 ,如 RFM 公司 的 TR1000 等 。 另 外 运行 于 传感器 网 络 上 的 微型 化 操作 系统 
主要 负责 复杂 任务 的 系统 调度 与 管理 ,比较 常见 的 有 UC Berkeley 开发 的 TinyOS 以 及 
ACOS- 开 舱 入 式 Linux。 

图 10. 5 是 一 种 典型 的 传感器 体系 结构 ,传感器 模块 负责 数据 的 感知 和 产生 及 数 模 
转化 ,信息 处 理 模块 负责 进行 信号 处 理 , 最 后 经 由 无 线 通信 模块 发 射出 去 。 
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图 10.5 传感器 节点 体系 结构 


传感器 网 络 节点 的 技术 参数 包括 如 下 几 项 。 

(1) 电池 能 量 。 传 感 器 的 能 量 一 般 由 电池 提供 ,一 次 性 电池 原则 上 可 工作 几 年 时 间 。 

(2) 传输 范围 。 由 于 传感器 节点 的 能 量 有 限 , 节 点 的 传输 范围 只 能 被 限制 在 一 个 很 
小 的 范围 之 内 (通常 是 100m 以 内 ,一 般 为 1 一 10m) ,否则 会 造成 传感器 的 能 量 枯竭 。 一 
些 技术 (比如 数据 聚集 传输 技术 ) 通 过 先 将 数据 进行 聚集 ,然后 传输 聚集 的 结果 (而 不 是 
每 个 数据 ) 来 减少 能 量 的 消耗 ,帮助 减少 传感器 节点 的 传输 能 耗 。 

(3) 网 络 带 宽 。 传 感 器 网 络 的 带宽 通常 只 有 几 十 kb/s, 如 使 用 蓝牙 协议 时 小 于 
723kb/s, 使 用 IEEE 802. 15.4 标准 的 ZigBee 协议 时 为 250kb/s。 

(4) 内 存 大 小 。 传 感 器 节点 的 内 存 大 小 一 般 只 有 6 一 8Kb, 而 且 大 部 分 内 存 被 传感器 
网 络 的 操作 系统 所 占据 ,例如 TinyOS。 内 存 大 小 通常 会 影响 密 钥 管理 方案 的 可 行 性 , 即 
密 钥 管理 方案 必须 能 够 有 效 地 利用 剩余 的 存储 空间 .完成 密 钥 的 存储 、 缓 存 消息 等 。 

(5) 预先 部 署 的 内 容 。 通 常 ,传感器 网 络 具 有 随机 性 和 动态 性 ,因此 不 可 能 获取 应 用 
环境 的 所 有 情况 。 预 先 在 传感器 节点 上 配置 的 信息 通常 是 密 钥 类 的 信息 。 例 如 ,通过 预 
先 在 节点 中 存储 一 些 秘密 共 享 密 钥 ,使 得 网 络 在 部 署 之 后 能 够 实现 节点 间 的 安全 通信 。 


2. 无 线 传感器 网 络 的 网 络 结构 


无 线 传感器 网 络 在 不 同 的 应 用 场景 中 的 网 络 拓扑 结构 可 能 不 同 。 比 较 典 型 的 应 用 
方式 是 : 无 线 传感器 节点 被 任意 地 散落 在 监测 区 域 , 然 后 节点 间 以 自 组 织 的 形式 构建 网 
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络 , 对 感知 参数 进行 监测 并 生成 感知 数据 ,最 后 通过 短 距 离 无 线 通 信 ( 如 ZigBee) 经 过 多 
次 转发 将 数据 传送 到 网 关 ( 汇 聚 (sink) 节 点 ), 网 关 通 过 远 距离 无 线 通 信和 网 络 ( 如 3G、 
LTE) 将 数据 发 到 控制 中 心 。 也 有 传感器 节点 直接 将 感知 的 数据 发 给 控制 中 心 的 ,这 便 
是 一 种 典型 的 M2M(Machine-to-Machine) 通 信 场 景 。 一 般 而 言 ,无 线 传感器 网 络 从 结构 
上 可 分 为 分 布 式 网 络 和 集中 式 网 络 两 种 。 

1) 分 布 式 无 线 传感器 网 络 

分 布 式 无 线 传 感 器 网 络 因为 没有 固定 的 网 络 结构 ,网 络 在 部 署 前 无 法 获知 其 拓扑 结 
构 , 只 能 在 部 署 后 采用 邻居 节点 探测 的 方式 互相 建立 拓扑 关系 。 传 感 器 节点 通常 随机 部 
署 在 目标 区 域 中 。 一 旦 节点 被 部 署 ,它们 就 开始 在 自己 的 通信 范围 内 寻找 邻居 节点 , 建 
立 数据 传输 路 径 。 因 为 每 个 节点 的 通信 范围 有 限 ,每 个 节点 只 能 发 现 网 络 节点 集合 中 的 
某 个 子 集 。 这 种 方式 建立 的 拓扑 网 络 具 有 一 定 的 鲁 棒 性 ,网 络 伸缩 性 好 ,因为 当 少量 传 
感 器 节点 失效 时 ,将 不 会 引起 整个 网 络 的 次 疯 或 者 分 割 。 图 10. 6 为 分 布 式 网 络 结构 的 
示意 图 。 
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10.6 无 线 传 感 器 网 络 的 分 布 式 结构 


2) 集中 式 无 线 传感器 网 络 

在 集中 式 无 线 传感器 网 络 (也 称 为 层 复式 无 线 传感器 网 络 ) 中 ,依据 节点 处 理 能 力 的 
不 同 可 以 分 为 基站 、 簇 头 (cluster head) 节 点 和 普通 节点 ,如 图 10.7 所 示 。 基 站 是 一 个 控 
制 中 心 , 它 通常 具有 很 高 的 计算 和 存储 能 力 , 可 以 实施 多 种 控制 命令 。 基 站 的 功能 包括 
以 下 几 种 : 四 典型 的 网 络 应 用 中 的 网 关 ; @ 具 有 强大 的 数据 存储 /处 理 能 力 的 节点 ; @ 用 
户 的 访问 接口 。 基 站 通常 被 认为 是 抗 攻击 、. 可 信赖 的 ,因而 基站 可 成 为 网 络 中 的 密 钥 分 
发 中 心 (KDC)。 节 点 通常 部 署 在 与 基站 一 跳 或 多 跳 的 范围 内 ,多 跳 节 点 形成 一 个 簇 结构 
( 簇 结构 即 包含 一 个 簇 头 节点 和 多 个 普通 节点 或 孩子 节点 的 树 状 结构 )。 基 站 具有 很 强 
的 传输 能 力 , 通 常 可 以 与 任意 一 个 网 络 内 的 节点 通信 ,而 节点 的 通信 能 力 则 取决 于 节点 
自身 的 能 量 水 平和 位 置 。 依 据 通信 方式 的 不 同 ,网 络 内 的 数据 流 可 以 分 为 点 对 点 通信 、 
组 播 通信 、 基 站 到 节点 的 广播 通信 。 

无 线 传感器 网 络 具有 如 下 特点 ,在 设计 安全 方案 时 需要 考虑 到 这 些 特点 。 
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(1) 网 络 节点 数量 众多 ,节点 密度 大 ( 即 单位 面积 内 的 节点 数量 较 多 ) 。 

(2) 网 络 拓扑 结构 不 稳定 ,拓扑 结构 随时 可 能 发 生变 化 。 

(3) 传感器 节点 受到 应 用 环境 和 节点 成 本 的 限制 ,计算 和 通信 能 力 有 限 。 

(4) 能 量 受 限 。 无 线 传 感 器 网 络 由 于 部 署 在 特定 环境 中 ,通常 没有 持续 的 外 接 电能 
供应 ,多 以 电池 作为 能 量 源 。 


1032 无 线 传 感 器 网 络 的 安全 需求 


通常 无 线 传感器 网 络 会 被 部 署 在 不 易 控 制 \, 无 人 看 守 边远、 易于 遭 到 恶劣 环境 破坏 
或 者 人 为 破坏 和 攻击 的 环境 当中 ,因而 无 线 传感器 网 络 的 安全 问题 成 为 研究 的 热点 。 由 
于 传感器 节点 本 身 计 算 能 力 和 能 量 受 限 的 特点 ,寻找 轻 量 级 (计算 量 小 .能 耗 低 ) 的 .适合 
于 无 线 传感器 网 络 特点 的 安全 手段 是 安全 应 用 的 主要 目标 。 

无 线 传感器 网 站 的 安全 需求 可 归纳 为 以 下 几 方 面 : 

(1) 数据 机 密 性 需求 。 在 无 线 传感器 网 络 中 ,数据 通信 不 应 当 向 敌手 泄露 任何 敏感 
信息 。 在 许多 应 用 中 ,节点 之 间 传 递 的 是 高 度 敏 感 的 数据 或 者 控制 信息 。 节 点 保存 的 感 
知 数据 会 话 密 钥 及 其 他 传感器 网 络 中 的 机 密 信息 (如 传感器 的 身份 标识 等 ) 必 须 只 有 授 
权 用 户 才能 访问 。 同 时 , 因 密 钥 泄 露 造成 的 影响 应 当 尽 可 能 控制 在 一 个 小 的 范围 内 ,从 
而 使 得 一 个 密 钥 的 泄露 不 至 于 影响 整个 网 络 的 安全 。 解 决 通信 机 密 性 主要 依靠 使 用 通 
信 双 方 共享 的 会 话 密 钥 来 加 密 待 传递 的 消息 ,解决 存储 机 密 性 主要 依靠 加 密 数据 的 访问 
控制 。 

(2) 节点 身份 认证 和 消息 认证 。 无 线 传感器 网 络 中 的 传感器 节点 应 能 够 相互 进行 身 
份 认证 ,如 接收 传感器 节点 能 够 验证 发 送 传感器 节点 的 身份 ,节点 身份 认证 在 无 线 传 感 
器 网 络 的 许多 应 用 中 是 非常 重要 的 。 因 为 攻击 者 很 容易 向 网 络 注入 信息 ,接收 者 只 有 通 
过 身份 认证 才能 确信 消息 是 从 正确 的 节点 传送 过 来 的 。 而 且 传统 的 数字 签名 方法 通常 
不 适用 于 通信 能 力 ` 计 算 速度 和 存储 空间 都 相当 有 限 的 传感器 节点 。 因 此 传感器 网 络 通 
常 使 用 基于 对 称 密码 体制 的 认证 方法 , 即 判断 对 方 是 否 拥有 共享 的 对 称 密 钥 来 完成 身份 
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的 认证 。 

(3) 通信 数据 和 存储 数据 的 完整 性 。 资 源 有 限 的 传感器 无 法 支持 高 计算 量 的 数字 签 
名 算法 ,通常 使 用 对 称 密 钥 体制 和 消息 鉴别 码 来 进行 数据 完整 性 检验 。 

(4) 新 鲜 性 。 在 无 线 传感器 网 络 中 ,基站 和 簇 头 需要 处 理 很 多 节点 发 送 过 来 的 采 
集 信息 ,为 防止 攻击 者 进行 任何 形式 的 重 放 攻击 (将 过 去 窃听 的 消息 重复 发 送 给 接收 
者 ,耗费 其 资源 使 其 不 能 提供 正常 服务 ) ,必须 保证 每 条 消息 的 新 鲜 性 。 由 于 密 钥 可 能 
需要 进行 更 新 ,因而 新 鲜 性 还 体现 在 密 钥 建 立 过 程 中 , 即 通信 双方 所 共享 的 密 钥 是 最 
新 的 。 

(5) 可 扩展 性 (scalability) 。 这 是 无 线 传感器 网 络 的 特色 之 一 ,由 于 传感器 节点 数量 
大 ,分 布 范围 广 ,环境 条 件 、 恶 意 攻 击 或 任务 的 变化 可 能 会 影响 传感器 网 络 的 配置 。 同 
时 ,节点 的 经 常 加 入 、 物 理 破坏 或 电量 耗 尽 等 也 会 使 得 网 络 的 拓扑 结构 不 断 发 生变 化 。 
可 扩展 性 是 指 网 络 能 够 自 适应 这 些 情况 的 变化 。 

(6) 可 用 性 Cavailability) 。 无 线 传感器 网 络 的 安全 解决 方案 所 提供 的 各 种 服务 能 被 
授权 用 户 使 用 ,并 能 有 效 防 止 非法 攻击 者 企图 中 断 传 感 器 网 络 服务 的 恶意 攻击 。 

(7) 健壮 性 Crobustness) 。 无 线 传感器 网 络 一 般配 置 在 恶劣 环境 或 无 人 区 域 , 环 境 
条 件 、 现 实 威胁 和 当前 任务 具有 很 大 的 不 确定 性 。 无 线 传 感 器 网 络 及 其 节点 必须 能 抵御 
各 种 外 部 恶劣 环境 的 影响 。 

(8) 自 组 织 性 (self-organization) 。 由 于 无 线 传 感 器 网 络 是 由 一 组 传感器 以 自 组 织 的 
(Ad Hoc) 方 式 构成 的 无 线 网 络 ,这 就 决定 了 相应 的 安全 解决 方案 也 应 当 是 自 组 织 的 , 即 
在 无 线 传感器 网 络 配置 之 前 通常 无 法 假定 节点 的 任何 位 置信 息 和 网 络 的 拓扑 结构 ,也 无 
法 确定 某 个 节点 的 邻近 节点 集 。 


1033 无 线 传 感 器 网 络 的 攻击 与 防御 


由 于 传感器 网 络 采用 无 线 通 信 , 开 放 的 数据 链 路 是 不 安全 的 ,攻击 者 可 以 窃听 通信 
的 内 容 , 实 施 干扰 。 而 且 传感器 节点 通常 工作 在 无 人 区 域 , 缺 乏 物 理 保护 ,容易 损坏 , 且 
攻击 者 可 以 获取 节点 , 读 取 存 储 内 容 甚至 写 人 恶意 代码 。 下 面 介 绍 常见 的 攻击 手段 和 防 
御 方 法 : 

(1) 拥塞 (jiamming) 攻 击 。 这 是 一 种 针对 无 线 通信 的 DoS 攻击 。 攻 击 方法 是 干扰 正 
常 节点 通信 所 使 用 的 无 线 电波 频率 ,达到 干扰 正常 通信 的 目的 。 攻 击 者 只 需要 在 节点 数 
为 N 的 网 络 中 随机 布置 开 ( 开 过 过 N) 个 攻击 节点 ,使 它们 的 干扰 范围 覆盖 全 网 ,就 可 以 
使 整个 网 络 瘫痪 。 

对 于 物理 层 的 攻击 (如 拥塞 攻击 ) 使 用 扩 频 通信 可 以 有 效 地 防止 。 另 一 对 策 是 ,如 果 
被 攻击 节点 附近 的 节点 觉察 到 拥塞 攻击 ,就 让 它 进 入 睡眠 状态 ,保持 低能 耗 。 然 后 定期 
检查 拥塞 是 否 已 经 消失 ,如 果 消 失 则 进入 活动 状态 ,向 网 络 通报 拥塞 的 发 生 。 

(2) 耗 尽 (exhaustion) 攻 击 。 恶 意 节点 侦 听 附近 节点 的 通信 , 当 一 帧 快 发 送 完 时 , 亚 
意 节点 发 送 干扰 信号 。 传 统 的 MAC 层 协 议 中 的 控制 算法 往往 会 重 传 该 帧 ,反复 重 传 造 
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成 被 干扰 节点 电源 很 快 被 耗 尽 。 自 杀 式 的 攻击 节点 甚至 一 直 对 被 攻击 节点 发 送 请 求 
(request) 信 号 ,使 得 对 方 必须 回答 ,这 样 两 个 节点 都 耗 尽 电源 。 这 一 攻击 的 原理 可 能 与 
具体 MAC 层 协议 (如 IEEE 802. 15. 4 协议) 有关。 

(3) 非 公 平 竞 争 攻 击 。 由 于 无 线 信道 是 单一 访问 的 共享 信道 ,采取 竞争 方式 进行 信 
道 的 分 配 。 非 公平 竞争 攻击 是 指 在 网 络 中 , 某 些 恶 意 节 点 故意 长 时 间 占 用 链 路 信道 , 采 
用 一 些 设置 ,如 较 短 的 等 待 时 间 进 行 重 传 重 试 、 预 留 较 长 的 信道 占用 时 间 等 ,达到 不 公平 
占用 信道 的 目的 。 这 一 攻击 的 原理 与 MAC 层 协议 有 关 。 

(4) 汇聚 节点 Choming) 攻 击 。 传 感 器 网 络 中 有 些 节点 执行 路 由 转发 功能 ,汇聚 节 
点 攻击 针对 这 一 类 节点 。 攻 击 者 只 需要 监听 网 络 通信 ,就 可 以 知道 篮 头 的 位 置 ,然后 
对 其 发 动 攻 击 。 簇 头 瘫痪 后 ,在 一 段 时 间 内 整个 簇 都 不 能 工作 。 它 也 属于 DoS 攻击 的 
一 种 


(5) 龟 慢 和 贪 禁 (neglect and greed) 攻 击 。 其 含义 是 少 转发 ,不 转发 或 多 转发 收 到 的 
数据 包 。 攻 击 者 处 于 路 由 转发 路 径 上 ,但 是 随机 地 对 收 到 的 数据 包 不 予 转 发 处 理 。 例 如 
向 消息 源 发 送 收 包 确 认 , 但 是 把 数据 包 丢 弃 不 予 转发 ,该 攻击 称 为 怠慢 (neglect) 。 如 果 
被 攻击 者 改装 的 节点 对 自己 产生 的 数据 包 设 定 很 高 的 优先 级 ,使 得 这 些 恶 意 信息 在 网 络 
中 被 优先 转发 , 则 这 样 的 攻击 称 为 贪 禁 (greed) 。 

对 于 全 慢 和 贪 禁 攻 击 , 可 用 身份 认证 机 制 来 确认 路 由 节点 的 合法 性 ;或 者 使 用 多 路 
径路 由 来 传输 数据 包 , 使 得 数据 包 在 某 条 路 径 被 丢弃 后 ,数据 包 仍 可 以 被 传送 到 目的 
节点 。 

(6) 方向 误导 (misdirection) 攻 击 。 这 里 的 方向 是 指数 据 包 转 发 的 方向 。 如 果 被 敌 
人 所 控制 的 路 由 节点 将 收 到 的 数据 包 发 给 错误 的 目标 , 则 数据 源 节点 受到 攻击 ;如 果 将 
所 有 数据 包 都 转发 给 同一 个 正常 节点 , 则 该 节点 很 快 因 接收 包 而 耗 尽 电源 。 方 向 误导 攻 
击 的 一 个 变种 是 Smurf 攻击 。 

(7) 黑洞 (black holes) 攻 击 , 又 称 为 排水 洞 (sinkholes) 攻 击 。 攻 击 者 (用 A 表示 ) 声 
称 自己 具有 一 条 高 质量 的 路 由 到 基站 ,比如 广播 “我 到 基站 的 距离 为 零 ”。 如 果 A 能 发 送 
到 很 远 的 无 线 通信 和 距离, 则 收 到 该 信息 的 大 量 节点 会 向 A 发 送 数据 。 大 量 数据 到 达 人 
的 邻居 节点 ,它们 都 要 给 A 发 送 数据 ,造成 信道 的 竞争 。 由 于 竞争 ,邻居 节点 的 电源 很 快 
被 耗 尽 , 这 一 区 域 就 成 了 黑洞 ,通信 无 法 传递 过 去 。 对 于 收 到 的 数据 ,A 可 能 会 不 予 处 
理 。 黑洞 攻击 破坏 性 很 强 , 基 于 距离 向 量 (distance vector) 的 路 由 算法 容易 受到 黑洞 攻 
击 , 因 为 这 些 路 由 算法 将 距离 较 短 的 路 径 作为 优先 传递 数据 包 的 路 径 。 

抵抗 黑洞 攻击 可 采用 基于 地 理 位 置 的 路 由 协议 。 因 为 拓扑 结构 建立 在 局 部 信息 和 
通信 上 ,通信 通过 接收 节点 的 实际 位 置 自然 地 寻 址 ,所 以 在 别 的 位 置 成 为 黑洞 就 变 得 很 
困难 了 。 

(8) 虫 洞 Cwormholes) 攻 击 : 通常 由 两 个 移动 主机 攻击 者 合作 进行 。 一 个 主机 A 在 
网 络 的 一 边 收 到 一 条 消息 ,比如 基站 的 查询 请 求 ,通过 低 延 迟 链 路 传 给 距离 很 远 的 另 一 
个 主机 B,B 就 可 以 直接 广播 出 去 。 这 样 , 收 到 B 广播 的 节点 就 会 把 传 感 的 数据 发 给 B， 
因为 收 到 B 广播 的 节点 认为 这 是 一 条 到 达 A 的 捷径 。 
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(9) Hello 泛 洪 (Hello flood) 攻 击 : 在 许多 协议 中 ,节点 通过 发 送 一 条 Hello 消息 表 
明 自 己 的 身份 ,而 收 到 该 消息 的 节点 认为 发 送 者 是 自己 的 邻居 (因为 数据 包 可 以 到 达 )。 
但 移动 主机 攻击 者 可 以 将 Hello 消息 传播 得 很 远 , 远 处 的 正常 节点 收 到 消息 之 后 ,把 攻击 
者 当成 自己 的 邻居 。 这 些 节点 会 与 “邻居 ”( 移 动 主机 攻击 者 ) 通 信 , 导 致 网 络 流量 的 混 
乱 。 传 感 器 网 络 中 的 几 个 路 由 协议 ,如 LEACH 和 TEEN, 易 受 这 类 攻击 ,特别 是 当 
Hello 包 中 含有 路 由 信息 或 定位 信息 时 更 是 如 此 。 

(10) 女巫 Csybil) 攻 击 。 是 指 利用 单个 攻击 节点 伪造 并 冒充 多 个 合法 节点 ,或 者 偷窃 
网 络 中 合法 节点 的 ID ,进而 实现 了 一 个 节点 有 多 个 身份 (ID) 的 恶意 行为 。 而 网 络 中 正常 
节点 无 法 分 辨 这些 虚 假 的 节点 , 当 正 常 节点 将 虚假 节点 加 入 到 邻居 列表 中 后 ,实际 是 与 
恶意 节点 直接 通信 。 这 样 ,该 恶意 节点 吸引 了 网 络 中 的 大 部 分 数据 流 ,从 而 独立 完成 了 
该 区 域内 的 路 由 。 实 质 上 ,恶意 节点 及 其 产生 的 虚假 节点 在 物理 设备 上 共享 同一 节点 的 
资源 。 这 些 并 不 存在 的 虚假 节点 被 定义 为 女巫 节点 。 女 巫 攻 击 能 破坏 传感器 网 络 的 路 
由 算法 ,还 能 降低 数据 汇聚 算法 的 有 效 性 。 这 种 攻击 是 针对 WSN 认证 机 制 不 成 熟 的 弱 
点 进行 的 攻击 。 

对 付 女 巫 攻 击 有 两 种 探测 方法 ,一 种 是 资源 探测 法 , 即 检 测 每 个 节点 是 否 都 具有 应 
该 具备 的 硬件 资源 。 女 巫 节 点 不 具有 任何 硬件 资源 ,所 以 容易 被 检测 出 来 。 但 是 当 攻 下 
者 的 计算 和 存储 能 力 都 比 正常 传感器 节点 大 得 多 时 , 则 攻击 者 可 以 利用 丰富 的 资源 伪装 
成 多 个 女巫 节点 。 男 一 种 是 无 线 电 资 源 探测 法 ,通过 判断 某 个 节点 是 否 有 某 种 无 线 电 发 
射 装 置 来 判断 是 否 为 女巫 节点 ,但 这 种 无 线 电 探测 非常 耗 电 。 

(11) 破坏 同步 (desynchronization) 攻 击 。 在 两 个 节点 正常 通信 时 ,攻击 者 监听 并 向 
双方 发 送 带 有 错误 序列 号 的 包 , 使 得 双方 误 以 为 发 生 了 丢失 而 要 求 对 方 重 传 。 攻 击 者 使 
正常 通信 双方 不 停 地 重 传 消息 ,从 而 耗 尽 电源 。 

(12) 泛 洪 攻击 (flooding)。 指 攻击 者 不 断 地 要 求 与 邻居 节点 建立 新 的 连接 ,从 而 耗 
尽 邻居 节点 用 来 建立 连接 的 资源 ,使 得 其 他 合法 的 对 邻居 节点 的 请 求 不 得 不 被 忽略 。 

对 于 传输 层 的 攻击 (如 泛 洪 ) ,一 种 对 策 是 使 用 客户 谜 题 (client puzzle) , 即 如 果 客 户 
要 和 服务 器 建立 一 个 连接 ,必须 首先 证 明 自 己 已 经 为 连接 分 配 了 一 定 的 资源 ,然后 服务 
器 才 为 连接 分 配 资源 ,这 样 就 增 大 了 攻击 者 发 起 攻击 的 代价 。 这 一 防御 机 制 对 于 攻击 者 
同样 是 传感器 节点 时 很 有 效 , 但 是 合法 节点 在 请 求 建立 连接 时 也 增 大 了 开销 。 

(13) 应 用 层 攻 击 。 例 如 ,对 感知 得 到 数据 进行 窃听 、 算 改 、 重 放 、 伪 造 等 ;节点 不 合作 
行为 ;对 应 用 层 功 能 如 节点 定位 .节点 数据 收集 和 融合 等 的 攻击 ,使 得 这 些 功能 出 现 
错误 。 

对 于 其 他 形式 的 攻击 ,通常 采用 加 密 和 认证 机 制 提供 解决 方案 。 例 如 ,对 于 分 簇 节 
点 的 数据 层 层 聚集 ,可 使 用 同 态 加 密 、 秘 密 共 享 的 方法 。 对 于 节点 定位 安全 ,可 采取 门限 
密码 学 以 及 容错 计算 的 方法 等 。 然 而 在 无 线 传 感 器 网 络 中 ,传感器 节点 的 计算 资源 非常 
有 限 ,通常 公 钥 加密 和 签名 算法 因 计 算 量 太 大 而 不 适用 .所 以 对 称 密 钥 加 密 方案 使 用 得 
较 多 ,而 为 了 应 用 对 称 密 钥 加 密 方法 ,首先 需要 解决 会 话 密 钥 的 密 钥 管理 问题 。 

表 10. 2 对 无 线 传 感 器 网 络 的 攻击 与 防御 方法 进行 了 总 结 。 


Ett 


表 10.2 无 线 传感器 网 络 的 攻击 与 防御 


网 络 层 攻 击 防 御 
拥塞 攻击 宽频 或 跳 频 优先 级 消息 、 区 域 映射 ,模式 转换 
人 物理 破坏 破坏 攻击 者 感知 节点 的 伪装 和 隐藏 
碰撞 攻击 纠 错 码 
链 路 层 耗 尽 攻击 设置 竞争 门限 
非 公平 竞争 攻击 使 用 短 帧 策略 , 非 优先 级 策略 
和 仍 慢 和 仿 禁 攻击 使 用 元 余 途 径 、 探 测 机 制 
汇聚 节点 攻击 使 用 加 密 和 逐 跳 认证 机 制 
a 方向 误导 攻击 出 口 过 滤 , 认 证 、 监 视 机 制 
黑洞 攻击 认证 监视、 元 余 机 制 
传输 层 泛 洪 攻击 客户 谜 题 
破坏 同步 攻击 认证 
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密 钥 管理 是 无 线 传感器 网 络 需 要 首先 解决 的 安全 问题 ,因为 密 钥 的 建立 与 分 发 是 保 
密 通 信 的 前 提 。 同 时 ,由 于 传感器 节点 具有 数量 庞大 、 随 机 布置 (具有 随机 网 络 拓扑 结 
构 ) 和 节点 资源 受 限 (计算 .存储 和 能 量 有 限 ) 等 特点 ,节点 可 能 因 断 电 、 被 损坏 、 被 捕获 而 
失效 或 泄露 密 钥 ,使 得 密 钥 管理 问题 变 得 更 加 环 手 。 因 而 , 密 钥 管 理 的 可 扩展 性 、 自 组 织 
性 、 鲁 棒 性 等 要 求 较 高 ,成 为 无 线 传感器 网 络 中 一 个 独 具 特 色 的 研究 问题 。 

密 钥 分 配 协议 可 分 为 预先 配置 密 钥 协议 有 仲裁 的 密 钥 协 议 、 分 组 分 簇 密 钥 协议 等 。 
预先 配置 密 钥 协议 即 在 传感器 节点 部 署 之 前 预先 分 配 和 安装 将 来 要 使 用 的 密 钥 。 这 种 
方法 简单 ,但 是 在 动态 无 线 传感器 网 络 中 增加 或 移 除 节点 的 时 候 就 会 不 灵活 。 而 有 仲裁 
的 密 钥 协 议 需 要 一 个 密 钥 分 配 中 心 (KDC) 或 可 信 第 三 方 (TTP) 负 责 建立 密 钥 ,KDC 或 
TTP 可 以 是 一 个 节点 或 者 分 散在 一 组 可 信任 的 节点 中 。 分 组 分 簇 密 钥 协 议 中 节点 被 划 
分 成 多 个 簇 ,每 个 徐 有 能 力 较 强 ( 表 现在 剩余 能 量 上 ) 的 一 个 或 者 多 个 簇 头 ,协助 密 钥 分 
配 中 心 或 者 基站 共同 管理 整个 无 线 传 感 器 网 络 。 密 钥 的 初始 化 分 发 和 管理 一 般 由 篮 头 
主持 ,协同 簇 内 节点 共同 完成 。 

下 面 介绍 几 类 无 线 传 感 器 网 络 中 常见 的 密 钥 分 配方 案 。 


1. 预先 配置 密 钥 


预先 配置 密 钥 方案 可 分 为 两 种 : 

(1) 网 络 预 分 配 密 钥 方 法 。 整 个 无 线 传感器 网 络 共享 一 个 秘密 密 钥 ,所 有 节点 在 配 
置 前 都 要 装载 同样 的 密 钥 。 这 种 方法 简单 ,但 是 若 某 个 节点 的 密 钥 被 敌人 知道 , 则 整个 
网 络 中 使 用 的 密 钥 就 暴露 了 ,从 而 整个 网 络 的 通信 都 失去 了 保密 性 。 


# 人 = 物 联网 的 安全 


305 


(2) 节点 间 预 分 配 密 钥 方 法 。 在 这 种 方法 中 ,网 络 中 的 每 个 节点 需要 知道 与 其 通信 
的 所 有 其 他 节点 的 ID 号 ,在 每 两 个 节点 之 间 共 享 一 个 独立 的 秘密 密 钥 。 如 果 每 个 节点 
都 可 能 与 网 络 中 的 其 他 节点 通信 , 则 需 分 别 建立 一 个 共享 的 秘密 密 钥 ,假定 节点 总 量 为 ? 
个 , 则 每 个 节点 要 存储 2 一 1 个 密 钥 ,整个 网 络 需 要 的 密 钥 总 量 为 n(n 一 1)/2 个 。 当 节点 

量 达到 几 千 个 时 ,该 方法 需要 管理 的 密 钥 数 量 就 很 大 了 。 


2. 有 仲裁 的 密 钥 协议 


有 仲裁 协议 假设 存在 建立 密 钥 的 可 信 第 三 方 (TTP)。 根 据 密 钥 建立 的 类 型 ,可 分 为 
对 称 密 钥 分 发 协议 和 公 钥 分 发 协议 。 对 称 密 钥 分 发 通常 由 密 钥 分 发 中 心 (KDC) 分 发 ,对 
公 钥 的 分 发 通常 比较 容易 。 

密 钥 建立 协议 支持 组 节点 的 密 钥 建立 , 即 建立 一 组 节点 之 间 通 信 需 要 使 用 的 密 钥 。 
还 有 一 种 分 等 级 的 密 钥 确立 协议 叫 作 分 层 逻 辑 密 钥 ,在 具有 相同 层次 的 节点 之 间 的 建立 
密 钥 关系 ,例如 Blom 等 人 提出 的 基于 矩阵 的 密 钥 分 配方 案 。 


3. 确定 密 钥 分 配方 案 Blundo 


根据 节点 选取 密 钥 的 方法 不 同 ,无 线 传 感 器 网 络 密 钥 管理 又 可 分 为 随机 性 密 钥 管理 
方案 和 确定 性 密 钥 管理 方案 。 在 随机 密 钥 管理 方案 中 ,节点 从 密 钥 池 中 随机 选择 若干 密 
钥 作 为 自己 的 密 钥 ;而 在 确定 性 密 钥 管理 方案 中 ,节点 是 通过 计算 确定 概率 来 获得 自己 
的 密 钥 。 随 机 密 钥 管理 方案 的 优点 是 获取 密 钥 方法 比较 简单 ,部署 灵活 ;缺点 是 经 常 出 
现存 储 信息 的 元 余 , 不 能 较 好 地 保证 连通 性 。 确 定性 密 钥 管理 方案 的 优点 是 能 保证 连通 
性 ;缺点 是 节点 部 署 的 灵活 性 较 差 。 确 定 密 钥 管理 方案 又 可 分 为 以 下 两 种 形式 。 

1) 节点 间 共 享 密 钥 

该 模型 保证 了 每 个 节点 之 间 存 在 一 对 共享 密 钥 ,节点 间 会 话 密 钥 的 建立 可 以 利用 该 
密 钥 生成 。 其 优点 是 : 由 于 要 求 每 个 节点 必须 存储 所 有 其 他 节点 的 共享 密 钥 ,因而 任意 
两 个 节点 间 总 可 以 建立 共同 的 密 钥 ;任何 两 个 节点 间 的 密 钥 对 是 独 享 的 ,其 他 节点 不 知 
道 其 密 钥 信息 ,任何 一 个 节点 被 捕获 不 会 泄露 非 直接 连接 的 节点 的 密 钥 信息 ;模型 简单 ， 
实现 容易 。 其 缺点 是 : 扩展 性 不 好 ,新 节点 的 加 入 需要 更 新 整个 网 络 中 所 有 的 节点 所 存 
储 的 密 钥 信 息 ;一 旦 某 个 节点 被 捕获 ,敌人 可 以 从 该 节点 存储 的 密 钥 信 息 获 得 该 节点 与 
网 络 所 有 节点 的 密 钥 信 息 ; 由 于 节点 需要 存储 所 有 其 他 节点 的 密 钥 信息 ,所 以 网 络 规模 
有 限制 。 

2) 节点 与 基站 共享 主 密 钥 

网 络 中 的 每 个 节点 与 基站 间 共 享 一 对 主 密 钥 , 每 个 节点 只 需要 很 少 的 密 钥 存储 空 
间 ,基站 需要 较 高 的 计算 和 资源 开销 。 其 优点 是 : 对 节点 的 资源 和 计算 能 力 要 求 较 低 , 计 
算 复 杂 度 低 ; 密 钥 建 立 的 成 功率 高 ,只 要 能 与 基站 通信 的 节点 都 可 以 进行 安全 通信 ;支持 
节点 的 动态 更 新 。 其 缺点 是 : 过 分 依赖 基站 的 能 力 , 基 站 是 单一 失效 点 , 即 一 旦 基站 被 捕 
获 ,整个 网 络 即 陷 人 瘫痪 ;网 络 的 规模 取决 于 基站 的 通信 和 能力; 基站 会 成 为 整个 网 络 的 通 
信 瓶 颈 ; 多 跳 通信 时 ,节点 只 负责 透明 地 转发 数据 包 , 没 有 办 法 对 信息 报 进 行 任何 认证 ， 
恶意 节点 容易 利用 这 一 特点 进行 DoS 攻击 。 
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为 减少 节点 间 共 享 主 密 钥 的 存储 空间 ,Blundo 在 1993 年 提出 了 基于 对 称 二 元 多 项 
式 的 密 钥 分 配方 案 ,该 方案 可 以 便捷 地 建立 网 络 中 所 有 节点 之 间 的 密 钥 对 。 该 方案 的 思 
想 是 : 在 有 限 域 F. 上 构造 一 个 : 阶 的 对 称 多 项 式 : 


f(r,y) = Dase'y’, 其 中 4a; = az 


该 多 项 式 具 有 对 称 性 f(x,y) 二 f(y， 2)， 系数 a; EF 可 以 随机 选择 。 节 点 在 部 署 前 , 基 
站 为 每 个 节点 分 配 一 个 ID, 如 节点 U 和 节点 V 的 ID 分 别 为 IDu 和 IDv。 基 站 计算 
了 (IDu,y) 和 xz,IDv) ,分 别 存 人 节点 U 和 节点 V 中 。 节 点 部 署 后 ,节点 U 和 节点 V 交 
换 各 种 ID 即 可 利用 对 称 多 项 式 计算 两 节点 间 的 对 密 钥 : 

flIDu ,IDy) = f(Dy ,IDv) 
对 称 多 项 式 密 钥 管理 方案 具有 7 安全 性 , 即 当 被 捕获 节点 的 数量 小 于 4 时 ,攻击 者 不 
能 利用 拉 格 朗 日 插值 多 项 式 计算 出 对 称 多 项 式 。 对 称 多 项 式 密 钥 管理 方案 的 缺点 是 : 当 
4 增加 时 ,网 络 中 节点 的 存储 代价 .计算 代价 和 通信 代价 将 相应 的 快速 增加 。 
Blundo ret et 工 和 y 的 多 项 式 的 对 称 性 : 对 于 所 有 的 x 、y， 
f(x,y) 二 f(y,Xx), 这 一 性 质 可 被 用 来 构造 共享 的 密 钥 。 


4. 密 钥 管理 协议 的 评价 指标 


评价 一 种 密 钥 管理 技术 的 好 坏 , 不 能 仅 从 能 否 保 障 传输 数据 安全 来 进行 评价 ,还 必 
须 满足 如 下 准则 : 

(1) 抗 攻击 性 (resistance) 。 主 要 指 抗 节点 妥协 的 能 力 。 在 无 线 传感器 网 络 中 ,攻击 
者 可 能 捕获 部 分 节点 并 复制 这 些 节点 来 发 起 新 的 攻击 。 针 对 这 种 情况 ,无 线 传 感 器 网 络 
必须 能 够 抵抗 一 定数 量 的 节点 被 捕获 而 发 起 的 新 的 攻击 。 

(2) 密 钥 可 回收 性 (revocation)。 如 果 一 个 节点 被 敌人 控制 ,对 网 络 产 生 破坏 行为 
时 , 密 钥 管 理 机 制 应 能 采取 有 效 的 方式 从 网 络 中 撤销 (revoke) 该 节点 。 撤 销 机 制 必须 是 
轻 量 级 的 , 即 不 会 消耗 太 多 的 网 络 通信 资源 和 节点 能 量 。 

(3) 容 侵 性 (resilience)。 如 果 节 点 被 捕获 , 密 钥 管理 机 制 应 能 够 保证 其 他 节点 的 密 
钥 信息 不 会 被 泄露 。 即 可 以 容忍 网 络 中 被 捕获 的 节点 数 小 于 一 定 的 阔 值 。 同时 ,新 节点 
能 够 方便 地 加 入 网 络 ,参与 安全 通信 。 


1035 无 线 传 感 器 网 络 安全 协议 SPINS 


无 线 传感器 网 络 安全 协议 SPINS 是 无 线 传感器 网 络 安全 框架 之 一 ,由 Adrian Perrig 
等 人 提出 。 该 协议 利用 汇聚 节点 作为 网 络 的 可 信 密 钥 分 发 中 心 ,来 为 网 络 节点 建立 会 话 
密 钥 并 实现 对 广播 数据 包 的 认证 。 

SPINS 包含 两 个 子 协议 : SNEP (Security Network Encryption Protocol) 和 
uTESLA(Timed Effeient Stream Loss-tolerant Authentication)。SNEP 可 用 来 实现 机 
密 性 、 完 整 性 .新 鲜 性 和 点 到 点 的 认证 ;而 uTESLA 则 用 于 实现 点 到 多 点 的 认证 广播 。 
SPINS 的 通信 开销 很 低 , 且 能 够 高 效 实 现 无 线 传 感 器 网 络 安全 需求 ,是 在 传 感 网 中 应 用 
最 广 的 安全 协议 。 


让 
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1. SNEP 实现 机 密 性 


SNEP 主要 通过 使 用 计数 器 、 消 息 认 证 码 等 机 制 来 实现 数据 的 机 密 性 及 数据 认证 。 
通信 双方 的 密 钥 可 通过 使 用 从 汇聚 节点 获取 的 主 密 钥 及 伪 随 机 函数 生成 。 

SNEP 实现 的 机 密 性 不 仅 具 有 加 密 功 能 ,还 具有 语义 安全 性 。 语 义 安全 性 是 指 即 使 
经 过 相同 的 密 钥 和 加 密 算法 ,相同 的 数据 信息 在 不 同 的 时 间 、 不 同 的 上 下 文中 产生 的 密 
文 是 不 同 的 。 语 义 安全 特性 可 以 有 效 抑制 已 知 明 密 文 对 攻击 。 密 码 分 组 链 (Cipher 
Block Chaining,CBC) 加 密 模式 具有 先天 的 语义 安全 特性 ,因为 CBC 模式 下 ,每 块 数据 的 
密 文 都 是 将 自身 与 前 段 密 文 迭代 异 或 产生 的 ;计数 器 (CounTeR,CTR) 模 式 是 实现 语义 
安全 性 的 另 一 种 方式 ,因为 每 个 数据 的 密 文 都 与 其 加 密 时 的 计数 器 值 相关 。CTR 模式 
下 ,通信 双方 共享 一 个 计数 器 ,计数 器 值 作 为 每 次 通信 加 密 的 初始 化 向 量 (Initial Vector， 
IV) ,因为 每 次 通信 时 的 计数 器 值 不 同 , 相 同 的 明文 产生 的 密 文 必定 也 不 同 。SNEP 是 采 
取 CTR 模式 的 加 密 方法 实现 语义 安全 机 制 的 ,其 加 密 公式 如 下 : 

E= K.ml 人 CC) 

其 中 ,E 是 加 密 后 的 密 文 ,m 是 明文 ,K。 为 加 密 密 钥 ,C 是 计数 器 值 。 


2. SNEP 实现 数据 完整 性 和 点 到 点 认证 


SNEP 协议 实现 数据 完整 性 是 通过 消息 鉴别 码 (MAC) 完 成 的 ,其 公式 如 下 : 
MAC = Kw (CE) 
其 中 ,C 是 计数 器 值 ,E 是 密 文 ,Kw 是 数据 完整 密 钥 。SNEP 采用 密 文 认证 模式 ,因为 如 
果 是 明文 认证 ,接收 节点 必须 先 对 报 文 内 容 进 行 解密 ,而 后 再 认证 ,只 有 解密 才能 知道 数 
据 包 是 否 错误 和 是 否 需要 丢弃 ,这 样 浪费 节点 计算 资源 ,同时 对 DoS 攻击 也 更 敏感 。 反 
之 , 密 文 认证 方式 可 以 在 节点 收 到 数据 包 后 立刻 对 密 文 进行 认证 ,发 现 问题 就 直接 丢弃 ， 
无 须 对 数据 包 进 行 解密 ,从 而 节省 节点 资源 。 

加 密 密 钥 KK。 和 数据 完整 密 钥 KK。 都 是 从 主 密 钥 woe: 生 成 的 ,生成 的 方式 可 以 依据 
具体 情况 而 定 ,只 要 通信 双方 均 可 实现 该 生成 算法 即 可 。 例 如 ,可 利用 uTESLA 中 定义 
的 单 向 密 钥 生成 函数 下 来 生成 这 两 个 密 钥 : 

让 = Ry Kn = 
节点 A 到 节点 B 之 间 完 整 的 SNEP 交换 过 程 如 下 面 的 公式 所 示 : 
A—B: K.(m||C), MAC= Kw Cl Km CO)) 


3. SNEP 消息 新 鲜 性 的 实现 


为 了 防御 重 放 攻击 ,SNEP 采用 了 强 新 鲜 性 认证 ,该 认证 使 用 随机 数 (Nonce) 机 制 ， 
Nonce 是 一 个 只 使 用 一 次 且 无 法 预测 的 随机 值 ,通常 由 伪 随 机 数 生成 器 产生 。 在 节点 A 
发 送 给 节点 了 的 消息 中 包含 了 Nonce 值 NA ,在 了 对 该 消息 的 应 答 中 ,需要 包含 该 值 。 节 
点 A 与 B 之 间 的 通信 过 程 如 下 : 

A==B: NA (RQAST}YEKs CY {CO {RASTHEK CHK. 
B= A; {RPLY)(K. CO {NaC | {RPLYYCK.SC MHR 
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其 中 ,RQST 是 请 求 包 , RPLY 是 应 答 包 。 节点 A 在 发 送 给 节点 B 的 消息 中 增加 了 
Nonce 字段 NA ,节点 B 在 应 答 该 消息 时 将 NA 加 入 响应 包 的 消息 认证 运算 ,并 将 其 结果 
返回 给 节点 A。 这 样 ,消息 发 回 节点 A 时 ,节点 A 就 可 以 通过 响应 包 中 的 NA 值 知道 这 
个 应 答 是 针对 NA 标识 的 请 求 消息 的 应 答 。 


4. 用 SNEP 完成 节点 间 通 信 


SPINS 中 每 个 节点 与 基站 (或 者 是 汇聚 节点 、 网 关 等 ) 之 间 共 享 一 个 主 密 钥 ,对 于 节 
点 上 传 数 据 到 基站 的 应 用 ,可 用 该 密 钥 生成 的 加 密 密 钥 来 加 密 信息 。 但 在 有 些 应 用 中 ， 
节点 之 间或 者 复 内 也 需要 通信 ,如 果 都 经 过 基站 转发 则 效率 很 低 。 解 决 的 办 法 是 通过 基 
站 建立 节点 间 的 临时 通信 密 钥 ,这 样 基站 就 起 到 了 密 钥 分 配 中 心 (KDC) 的 作用 。 例 如 ， 
节点 A 和 B 之 间 需 要 通信 ,因为 最 初 A 和 B 之 间 没 有 共享 密 钥 , 所 以 选择 通过 通信 双方 
都 信任 的 基站 S 来 建立 安全 通道 。 假设 节点 A 和 节点 B 都 与 基站 S 存在 共享 密 钥 Kas 
和 Kas。 那 么 安全 通道 的 建立 过 程 如 下 : 

(1) 节点 A 向 节点 B 发 送 请 求 ， 

A—B: NA,A 
(2) 节点 B 收 到 请 求 包 后 向 基站 S 发 送 数据 包 : 
B—>S: NA,Ns,A,B, MAC(Kss, Na Nel A | B) 

(3) 基站 S 验证 收 到 的 数据 包 , 验 证 通过 后 生成 SKasp ,并 分 别 向 节点 A、B 发 送 数 

据 包 : 


S—A: KaAs{SKas)}， MAC( Kas, Na | B | Kss(SKAs)) 

S—B: Kps{SKns}, MACCKms ,Ne A || Kes{SKAs)) 
其 中 ,SKag 是 基站 S 为 节点 A 和 节点 B 设 定 的 临时 通信 和 密 钥 ,Na 和 Ns 是 强 新 鲜 性 认证 
的 随机 数 。 节 点 A 和 B 之 间 通 信和 完成 后 ,通信 双方 可 以 直接 丢弃 SKAs 。 需 要 再 次 通信 
时 ,按照 上 述 步 又 重新 协商 密 钥 即 可 。 

提示 : SNEP 的 密 钥 协商 过 程 过 分 依赖 于 基站 ,一 旦 基站 被 停 获 ,整个 网 络 就 被 攻破 

了 ,即使 基站 不 被 停 ,也 会 成 为 通信 的 瓶颈 。 而 且 无 线 传 感 网 是 一 种 多 跳 网 络 ,SNEP 这 
样 的 协议 对 于 DoS 攻击 没有 任何 防御 能 力 。 因 为 在 节点 与 基站 的 通信 过 程 中 ,中 间 转 发 
节点 无 法 对 数据 包 进 行 任何 认证 判断 ,只 能 透明 转发 。 恶 意 节 点 可 以 利用 这 一 点 伪造 错 
误 的 数据 包 发 送 给 基站 ,数据 包 在 中 间 节 点 透明 转发 后 ,到 达 基 站 才能 被 识别 出 来 。 这 
种 情况 下 ,基站 会 因为 过 多 的 错误 包 而 不 能 提供 正常 的 服务 。 


5. uTESLA 协议 实现 广播 认证 


无 线 传感器 网 络 中 ,基站 要 向 网 络 中 所 有 的 WSN 节点 发 送 查 询 命令 ,节点 收 到 广播 
包 后 ,需要 对 广播 包 的 来 源 进 行 认证 ,如 果 通 过 认证 ,再 进行 回复 。 若 采取 对 称 密 钥 进行 
认证 , 则 广播 认证 和 单 播 认 证 的 区 别 在 于 : 单 播 包 的 认证 依赖 于 收发 节点 之 间 共享 一 个 
密 钥 ,而 广播 认证 需要 全 网 络 共 享 一 个 公共 密 钥 。 这 导致 安全 性 较 差 , 即 任何 一 个 节点 
被 俘获 将 会 泄露 整个 网 络 的 广播 认证 密 钥 。 

如 果 采 取 密 钥 更 新 的 方法 来 更 新 广播 认证 密 钥 , 则 会 增加 通信 开销 。 因 此 传统 的 广 
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播 认证 通常 采用 公 钥 认证 , 即 发 送 者 对 广播 包 进行 签名 ,所 有 接收 者 用 公 钥 进行 验证 。 
但 是 公 钥 运算 对 于 传感器 网 络 而 言 开 销 太 大 ,签名 和 验证 签名 的 计算 量 较 大 ,签名 的 传 
递 也 导致 额外 的 通信 负担。 针对 传感器 网 络 的 广播 认证 问题 .Adrian Perrig 等 人 对 流 媒 
体 广播 认证 协议 TESLA 进行 修改 ,设计 了 uTESLA 协议 。 该 协议 使 用 对 称 密 钥 机 制 实 
现 了 一 个 轻 量 级 的 广播 认证 。 

uTESLA 协议 的 主要 思想 是 : 先 广播 一 个 通过 密 钥 Kw 认证 的 数据 包 , 即 基站 用 
Ke 计算 该 包 的 MAC 值 , 然 后 将 该 认证 包 广 播 给 所 有 节点 。 当 一 个 节点 收 到 该 广播 认 
证 包 时 , 它 还 没有 收 到 验证 该 包 的 Ks. 密 钥 。 这 样 就 保证 了 基站 在 公布 Kw 前 ,任何 人 
都 不 能 得 到 认证 密 钥 的 信息 ,阻止 了 攻击 者 在 正确 认证 广播 数据 包 之 前 伪造 出 正确 的 广 
播 数据 包 。 

然后 节点 将 该 数据 包 存储 在 缓存 中 ,等 待 基 站 透露 验证 MAC 的 密 钥 Ks。 基站 于 
是 广播 Kww 密 钥 给 所 有 的 接收 者 ,节点 接收 到 该 密 钥 后 , 便 可 以 验证 缓存 中 的 那个 广播 
包 的 MAC 的 正确 性 。 

MAC 密 钥 Ka 都 是 单 向 散 列 链 中 的 一 个 密 钥 , 散 列 链 是 通过 一 个 单 向 函数 下 生成 
的 。 基 站 预先 生成 这 样 一 个 密 钥 链 , 方 法 是 : 使 用 单 向 函数 下 计算 K; 二 F(K; 十 1)。 当 
基站 周期 性 地 公布 密 钥 时 ,可 以 从 散 列 链 中 最 后 一 个 密 钥 开始 公布 , 即 先 公布 K;。 这 样 ， 
即使 每 个 节点 都 存放 了 五 C(M) , 它 也 只 能 计算 出 Ki+i ,不 能 计算 出 K; 以 前 的 密 钥 ,而 
Ki+i 不 在 基站 的 密 钥 池 中 ,所 以 节点 无 法 知道 下 一 个 将 要 公布 的 密 钥 , 保 证 了 密 钥 的 安 
全 性 。 

密 钥 链 中 的 每 个 密 钥 都 对 应 一 个 时 间 段 ,所 有 在 同一 时 间 间 隔 的 广播 包 都 使 用 同一 
个 密 钥 进行 认证 。 在 两 个 时 间 间 隔 后 ,相应 的 密 钥 才 透 露 。 密 钥 透 露 是 一 个 独立 的 广播 
数据 包 。 

假设 接收 节点 大 体 上 与 基站 时 间 同 步 ,并 知道 初始 密 钥 Ko ,数据 包 Pi、Ps 中 的 
MAC 由 密 钥 K, 生成 ,在 时 间 间 隔 1 内 发 送 。 数 据 包 P; 中 的 MAC 由 K。 生成 ,在 时 间 
间隔 2 发 送 。 此 时 接收 者 不 能 认证 任何 数据 包 , 因 为 K, 要 到 时 间 间 隔 3 才 透 露 。 类 似 
地 ,数据 包 P, 和 Ps 的 MAC 由 K 生成 ,在 时 间 间 隔 3 发 送 。 假 设 数据 包 P, 和 Ps 丢失 
了 ,同时 透露 密 钥 Ki 的 包 也 丢失 了 , 则 接收 者 仍然 不 能 验证 P 和 P 的 完整 性 (因为 没 
有 Ki)。 在 时 间 间 隔 4, 基 站 广播 了 密 钥 Ks ,节点 可 通过 验证 K。 一 F(F(Ks)), 并 得 到 
Ki 二 F(Ks), 这 时 可 用 Ki 来 验证 P 和 Ps 的 完整 性 ,利用 K; 来 验证 P; 的 完整 性 。 


习 是 
) 不 是 物 联网 的 组 成 之 一 。 
A. 感知 层 B. 网 络 层 C. 传输 层 D. 应 用 层 
2. 无 线 传 感 器 网 络 中 ,女巫 攻击 是 属于 ( ) 层 的 攻击 。 
A. 物理 层 B. 链 路 层 C. 应 用 层 D. 网 络 层 


3. 在 SPINS 协议 中 ,( ) 协 议 用 来 提供 广播 认证 。 
A. SNEP B. uTESLA C. 散 列 锁 D. SASI 
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4. 如 何 使 用 物理 途径 来 保护 RFID 标签 的 安全 性 ? 

5. 如 何 采用 密码 机 制 解决 RFID 的 安全 问题 ? 举 两 三 个 例子 对 RFID 安全 协议 进 
行 说 明 。 

6. RFID 的 攻击 模式 有 哪 几 种 ? 

7. RFID 系统 方面 面临 的 攻击 手段 有 哪些 ? 

8. 无 线 传 感 器 网 络 面临 的 攻击 手段 有 哪些 ? 


第 11 痘 = J. 


信息 安全 管理 


信息 安全 必须 从 管理 和 技术 两 方面 着 手 。 技 术 层面 和 管理 层面 的 良好 配合 , 才 是 
企业 实现 信息 安全 的 有 效 途 径 。 其 中 ,安全 技术 通过 建立 安全 的 主机 系统 和 安全 的 网 
络 系统 ,并 配备 适当 的 安全 产品 来 实现 ;在 管理 层面 , 则 通过 构建 信息 安全 管理 体系 来 

据 Ernst & Young 分 析 , 在 整个 系统 安全 工作 中 ,管理 (包括 管理 和 法 律 法 规 方面 ) 
所 占 的 比重 应 达到 70%, 而 技术 (包括 技术 和 实体 ) 应 占 30%。 信 息 管理 相对 于 信息 安 
全 技术 来 说 是 “ 软 技 术 ”( 如 果 说 信息 安全 技术 是 “ 硬 技 术 ” 的 话 )。 但 实际 上 ,在 信息 安全 
领域 ,人 们 的 注意 力 往往 集中 在 技术 和 设备 方面 ,而 忽视 了 人 的 因素 。 例 如 ,安全 风险 较 
高 的 “社交 工程 "就 经 常 被 人 们 忽略 ,社交 工程 利用 诱导 、 欺 骗 、 伪 装 等 非 技术 的 、 传 统 的 
犯罪 方式 而 导致 人 们 实施 各 种 不 安全 的 行为 。 对 社交 工程 的 防范 只 能 由 安全 管理 措施 
来 应 对 。 

目前 管理 和 技术 脱节 仍然 是 信息 安全 的 通病 。 信 息 安全 不 仅仅 是 一 个 技术 问题 ,在 
很 大 程度 上 已 经 表现 为 管理 问题 ,但 是 长 久 以 来 ,信息 安全 却 一 直 被 人 们 视 为 单纯 的 技 
术 问题 ,归于 信息 技术 部 门 独立 处 理 ,由 此 产生 3 个 方面 的 问题 ; 首先 ,信息 安全 策略 与 
管理 战略 脱节 ;其 次 ,在 * 业 务 持续 性 计划 ”与 "信息 技术 灾难 恢复 计划 ”之 间 划 等 号 ;第 
三 ,各 类 机 构 的 信息 安全 意识 培训 和 教育 也 不 够 。 

由 此 可 见 ,进行 信息 安全 管理 对 于 保证 信息 安全 的 重要 性 。 要 全 面 实现 信息 安全 ， 
应 该 从 可 能 出 现 风险 的 各 个 层面 来 考虑 问题 ,依据 "三 分 技术 、 七 分 管理 "的 安全 原则 , 建 
立正 规 的 信息 安全 管理 体系 ,以 实现 系统 的 ,全 面 的 安全 。 


11.1 信和 谍 安 全 管理 体系 


安全 管理 是 组 织 在 既定 的 目标 驱动 下 ,开展 风险 管理 活动 ,力求 实现 组 织 的 4 类 目 
标 : @ 战 略 目标 , 它 是 组 织 最 高 层次 的 目标 ,与 使 命 相 关联 并 支撑 使 命 ; 四 业务 目标 ,高 
效 利 用 组 织 资源 达到 高 效益 ; 加 保护 资产 目标 ,保证 组 织 资产 的 安全 可 靠 ; @ 合 规 性 目 
标 ,遵守 适用 的 法 律 和 法 规 。 

战略 目标 源 于 企业 的 使 命 ,是 最 高 层次 的 目标 ;业务 目标 .保护 资 产 目标 与 合 规 性 目 
标 与 战略 目标 协调 一 致 ,为 战略 目标 服务 。 


312 


Nuss sin 


安全 管理 的 一 个 重要 目标 是 降低 风险 ,风险 就 是 有 害 事件 发 生 的 可 能 性 。 一 个 有 害 
事件 由 3 部 分 组 成 : 威胁 、 脆 弱 性 和 影响 。 脆 弱 性 是 指 资产 的 脆弱 性 并 可 被 威胁 利用 的 
资产 性 质 。 如 果 不 存在 脆弱 性 和 威胁 , 则 不 存在 有 害 事件 ,也 就 不 存在 风险 。 风 险 管理 
是 调查 和 量化 风险 的 过 程 ,并 建立 了 组 织 对 风险 的 承受 级 别 。 它 是 安全 管理 的 一 个 重要 
部 分 。 


11.1.1 信息 安全 管理 的 内 容 


信息 安全 管理 就 是 跟踪 .评估 ,监测 和 管理 整个 商务 过 程 中 所 形成 的 风险 ,尽力 避免 
信息 风险 给 企业 带 来 经 济 损失 ,商业 干扰 和 商业 信誉 丧失 等 ,以 确保 企业 电子 商务 的 顺 
利 进行 。 企 业 要 做 好 信息 安全 管理 ,首先 ,要 提高 企业 内 部 对 信息 风险 的 管理 意识 ,掌握 
信息 风险 管理 知识 ;其 次 ,电子 商务 是 商务 过 程 的 信息 技术 实现 ,因此 应 将 企业 商务 战略 
与 信息 技术 战略 整合 在 一 起 ,形成 企业 的 整体 战略 。 信 息 安全 管理 主要 内 容 如 下 。 


1. 信息 系统 安全 漏洞 的 识别 与 评估 


这 里 指 的 安全 漏洞 既 包 括 信息 系统 中 硬件 与 软件 上 的 安全 漏洞 ,也 包括 公司 组 织 制 
度 上 的 漏洞 。 例 如 ,对 离职 员工 的 用 户 名 和 口令 没有 及 时 吊销 , 某 些 员工 的 访问 权限 未 
设置 成 最 小 等 。 这 些 漏 洞 的 识别 一 般 要 聘请 专门 的 评估 机 构 对 系统 进行 全 面 检查 。 


2. 对 人 的 因素 的 控制 


在 安全 管理 中 ,最 活跃 的 因素 是 人 ,对 人 的 管理 包括 法 律 、 法 规 与 政策 的 约束 ,安全 
指南 的 帮助 ,安全 意识 的 提高 ,安全 技能 的 培训 ,人 力 资源 管理 措施 ,以 及 企业 文化 的 各 
陶 等 。 

信息 安全 管理 在 行政 上 应 遵循 以 下 4 条 原则 : 

(1) 多 人 负责 的 原则 。 在 人 员 条 件 许可 的 情况 下 ,由 领导 指派 两 名 或 者 多 名 可 靠 的 
而 且 能 够 胜任 工作 的 专业 人 员 ,共同 参与 每 项 与 安全 相关 的 活动 ,并 且 通 过 签字 .记录 和 
注册 等 方式 证 明 。 

(2) 任期 有 限 的 原则 。 这 是 指 任何 人 都 不 能 在 一 个 与 安全 有 关 的 岗位 上 工作 太 长 时 
间 ,工作 人 员 应 该 经 常 轮换 工作 ,这 种 轮换 依赖 于 全 体 人 员 的 诚实 度 。 

(3) 职责 有 限 责任 分 离 原则 。 这 是 指 在 工作 人 员 素 质 和 数量 有 限 的 情况 下 ,不 集中 
于 一 个 人 实施 全 部 与 安全 有 关 的 职能 ,而 应 由 不 同 的 人 或 小 组 来 执行 。 

(4) 最 小 权限 原则 。 这 是 指 在 企业 网 络 安全 管理 中 ,为 员工 仅仅 提供 完成 其 本 职工 
作 所 需要 的 最 小 权限 ,而 不 提供 其 他 额外 的 权限 。 在 实际 工作 中 ,有 不 少 管理 者 会 为 了 
方便 管理 而 忽视 这 个 原则 ,例如 , 张 三 的 本 职工 作 是 网 络 管理 员 ,不 应 该 有 发 布 网 站 信息 
的 权限 ,但 领导 有 时 为 了 工作 方便 ,而 给 予 其 访问 敏感 信息 系统 的 权限 ,这 是 应 该 避 
免 的 。 


3. 运行 控制 


运行 控制 是 对 日 常 的 操作 步骤 和 流程 进行 定义 ,防止 .纠正 操作 中 的 不 规范 行为 。 
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运行 控制 既 包 括 对 普通 用 户 的 使 用 规范 ,也 包括 对 相关 安全 人 员 的 操作 进行 定义 。 因 
此 ,在 监视 安全 策略 实施 、 保 证 企业 防 人 侵 和 攻击 策略 能 够 合理 地 执行 和 贯彻 上 ,运行 控 
制 扮演 了 重要 的 角色 。 

运行 控制 要 结合 具体 情况 ,根据 已 采用 的 技术 控制 手段 ,清晰 地 定义 、 规 范 执行 的 步 
又 和 方法 。 具 体 如 下 : 

(1) 计算 机 使 用 规定 。 如 对 普通 用 户 规定 不 能 将 自 带 的 外 来 软件 引入 内 部 系统 ,不 
能 随意 卸载 软件 ,规定 安全 维护 人 员 对 用 户 的 技术 支持 .日 志 的 维护 和 定期 查看 等 。 

(2) 网 络 访问 规定 。 是 指使 用 内 部 网 连接 Internet 或 者 远程 访问 企业 内 部 网 (如 
VPN) 时 应 遵守 的 规范 ,如 不 得 在 未 授权 的 情况 下 安装 调制 解 调 器 或 无 线 网 卡 连接 外 部 
网 ,如 需 在 家 通过 VPN 访问 企业 网 络 时 ,必须 在 家 里 的 PC 上 安装 防 病毒 软件 并 实施 相 
应 的 扫描 策略 。 

(3) 用 户口 令 的 规则 。 口 令 规则 是 身份 认证 及 应 对 各 种 安全 威胁 都 很 重要 的 一 个 方 
面 ,通过 强制 实施 保障 用 户 使 用 强度 高 的 口令 。 例 如 ,规定 口令 的 最 小 长 度 ,禁止 使 用 用 
户 名 、 某 些 特定 词 作为 口令 。 

(4) 安全 设备 使 用 规则 。 是 指 为 了 使 各 种 安全 设备 发 挥 最 大 的 效用 而 必须 遵守 的 规 
定 。 安 全 设备 包括 防 病 毒 软件 、 防 火 墙 \IDS 等 。 例 如 ,规定 打开 实时 病毒 监视 器 ,定时 进 
行 特征 码 升 级 ,定期 检查 日 志 , 对 防火 墙 和 IDS 的 配置 是 否 最 合理 定期 进行 评估 。 


11.12 信息 安全 管理 策略 


制订 信息 安全 管理 策略 的 目的 是 为 了 能 够 保证 信息 系统 安全 、 完 整 、 正 常 地 运行 而 
不 受 破坏 和 干扰 ;能 够 有 序 地 、 客 观 地 鉴别 和 测试 信息 系统 的 安全 状态 ;能 够 对 可 能 存在 
的 风险 有 一 个 基本 的 评估 ;而 当 信息 系统 遭受 破坏 后 能 够 采取 及 时 有 效 的 恢复 措施 和 手 
段 , 并 且 对 其 所 需 的 代价 有 一 定 的 估计 。 

信息 安全 管理 策略 就 是 针对 信息 系统 中 所 要 保护 的 信息 、 被 攻击 的 可 能 性 、 投 入 的 
资金 状况 等 ,在 安全 管理 的 整个 过 程 中 ,根据 实际 情况 对 各 种 信息 安全 措施 进行 选择 。 
有 效 的 信息 安全 策略 可 以 说 是 在 一 定 条 件 下 成 本 和 效率 的 平衡 。 虽 然 具 体 的 信息 应 用 
可 能 不 同 , 但 制定 安全 策略 时 应 遵循 如 下 一 些 总 的 原则 。 

(1) 需求 风险、 代价 平衡 的 原则 。 绝 对 安全 的 信息 系统 是 不 可 能 达到 的 。 因 此 ,在 
对 信息 系统 所 面临 的 威胁 和 可 能 产生 的 风险 进行 充分 研究 后 ,结合 目前 的 技术 和 资金 条 
件 制定 相应 的 安全 措施 以 达到 安全 与 价值 的 平衡 , 即 保护 成 本 与 被 保护 信息 的 价值 
平衡 。 

(2) 综合 性 ,整体 性 原则 。 必 须 运用 系统 工程 的 观点 ,方法 ,从 整体 的 角度 看 待 和 分 
析 安 全 问题 ,综合 各 方面 情况 后 制定 相应 的 具体 可 行 的 安全 措施 。 

(3) 易 操 作 性 原则 。 安 全 措施 要 由 人 来 完成 ,如 果 措 施 过 于 复杂 ,对 人 的 要 求 过 高 ， 
本 身 就 降低 了 安全 性 。 其 次 ,采取 的 措施 不 能 影响 系统 的 正常 运行 。 

(4) 适应 性 、 灵 活性 原则 。 安 全 措施 必须 能 随 着 网 络 性 能 及 安全 需求 的 变化 而 变化 ， 

(5) 多 重 保护 的 原则 。 任 何 安全 保护 措施 都 不 是 绝对 安全 的 ,都 可 能 被 攻破 。 因 此 ， 
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应 建立 一 个 多 重 保护 系统 ,各 层 保 护 相互 补充 , 当 一 层 保护 被 攻破 时 ,其 他 层 保 护 仍 可 保 
护 信 息 的 安全 。 

建立 好 的 安全 策略 必须 包括 制定 操作 人 员 行 为 规则 和 培训 用 户 安全 意识 这 两 方面 
的 管理 措施 。 当 然 ,在 强调 安全 管理 重要 性 的 同时 也 不 能 忽视 安全 技术 的 作用 ,安全 管 
理 各 项 措施 的 执行 要 以 安全 技术 为 基础 。 


11.13 安全 管理 的 PDCA 模型 


PDCA 循环 的 概念 最 早 由 美国 质量 管理 学 家 戴 明 提出 ,在 质量 管理 中 应 用 广泛 。 
PDCA 这 4 个 英文 字母 的 含义 如 下 : 

(1) P(Plan) 一 一 计划 ,确定 方针 和 目标 ,确定 活动 计划 。 

(2) D(Do) 一 一 实施 ,实际 去 做 ,实现 计划 中 的 内 容 。 

(3) C(Check) 一 一 检查 ,总 结 执行 计划 的 结果 ,注意 效果 , 找 出 问题 。 

(4) A(Action) 一 一 行动 .对 总 结 检查 的 结果 进行 处 理 。 对 成 功 的 经 验 加 以 肯定 并 
适当 推广 ,标准 化 ;对 失败 的 教训 加 以 总 结 ,杜绝 再 次 重 现 ; 未 解决 的 问题 放 到 下 一 个 
PDCA 循环 中 。 

PDCA 循环 的 具体 阶段 如 图 11. 1 所 示 。 


计划 (Pl: 
企业 计划 (Plan) 企业 


行动 (Action) 实施 (Do) 


安全 的 ， 生生 人 
需求 和 态 下 的 
> | «4 


检查 (Check) 


图 11.1 安全 管理 的 PDCA 模型 


(1) 计划 阶段 : 制订 具体 的 工作 计划 ,提出 总 的 目标 。 具 体 又 分 为 4 个 步骤 ， 

首先 ,分 析 信息 安全 的 现状 , 找 出 存在 的 问题 ;其 次 ,分 析 产 生 问 题 的 各 种 原因 及 影 
响 因 素 ; 再 次 ,分 析 并 找 出 管理 中 的 主要 问题 :最 后 ,根据 找到 的 主要 原因 来 制定 管理 计 
划 ,确定 管理 要 点 。 也 就 是 说 ,根据 安全 管理 中 出 现 的 主要 问题 ,制订 管理 的 措施 、 方 案 ， 
明确 管理 的 重点 。 制 订 方案 时 要 注意 整体 的 详细 性 、 全 面 性 多 选 性 。 

(2) 实施 阶段 : 按照 制订 的 方案 去 执行 。 管 理 方案 在 管理 工作 中 的 落实 情况 直接 影 
响 全 过 程 , 所 以 在 实施 阶段 要 坚决 按照 制订 的 方案 去 执行 。 

(3) 检查 阶段 : 即 检查 实施 计划 的 结果 。 这 是 比较 重要 的 一 个 阶段 ,是 对 实施 方案 
是 否 合理 、 是 否 可 行 有 何不 妥 的 检查 ,是 为 下 一 阶段 改进 工作 创造 条 件 。 

(4) 处 理 阶 段 : 根据 调查 的 效果 进行 处 理 。 在 处 理 阶 段 ,对 已 解决 的 问题 加 以 标准 
化 ,把 已 成 功 的 可 行 的 条 文 进行 标准 化 ,将 这 些 纳入 到 制度 中 ,防止 以 后 再 发 生 类 似 的 问 


题 ;另外 , 找 出 尚未 解决 的 问题 , 转 入 下 一 循环 中 ,以 便 以 后 解决 。 
112 信息 安全 评估 


系统 安全 评估 在 信息 安全 体系 建设 中 具有 重要 的 意义 。 它 是 了 解 系统 安全 现状 、 提 
出 安全 解决 方案 、 加 强 安全 监督 管理 的 有 效 手段 。 本 节 介 绍 各 国 制订 的 计算 机 系统 及 产 
品 安全 评估 准则 与 标准 。 


1121 信息 安全 评估 的 内 容 


信息 安全 评估 是 运用 系统 的 方法 ,对 信息 系统 、 各 种 信息 安全 保护 措施 、 管 理 机 制 以 
及 结合 所 产生 的 客观 效果 作出 是 否 安全 的 结论 。 信 息 系统 的 安全 有 时 并 不 是 所 有 者 自 
己 可 以 进行 判断 的 ,所 以 经 常 需要 请 专业 的 评估 机 构 或 专家 来 对 本 部 门 的 网 络 安全 进行 
评估 ,从 而 有 利于 把 未 来 可 能 的 风险 降 到 最 低 。 

安全 评估 的 主要 内 容 包括 以 下 几 方 面 : 

(1) 环境 安全 。 这 分 为 3 个 部 分 : 实体 的 、 操 作 系统 的 及 管理 的 。 实 体 的 如 机 房 温 
度 控制 。 

(2) 应 用 安全 。 主 要 内 容 有 输入 输出 控制 ,系统 内 部 控制 .责任 划分 .输出 的 用 途 、 程 
序 的 敏感 性 和 脆弱 性 .用户 满意 度 等 。 

(3) 管理 机 制 。 如 规章 制度 .紧急 恢复 措施 人事 制 度 ( 如 防止 因 工 作 人 员 调 人 、 调 离 
对 安全 的 影响 等。 

(4) 通信 安全 。 如 加 密 .数字 签名 等 措施 。 

(5) 审计 机 制 , 即 系统 审计 跟踪 的 功能 和 成 效 。 


1122 安全 评估 标准 


标准 是 技术 性 法 规 , 作 为 一 种 依据 和 尺度 。 建 立 评估 标准 的 目的 是 建立 一 个 业界 能 
广泛 接受 的 通用 的 信息 安全 产品 和 系统 的 安全 性 评价 原则 。 对 评估 标准 的 要 求 是 具有 
良好 的 可 操作 性 ,明确 的 要 求 。 

目前 信息 安全 领域 比较 流行 的 评估 标准 是 美国 国防 部 开发 的 计算 机 安全 标准 一 一 
可 信 计 算 机 标准 评价 准则 (Trusted Computer Standards Evaluation Criteria, TCSEC)， 
也 称 为 网 络 安全 橙 皮 书 ( 由 于 采用 橙色 封皮 ) 。 

TCSEC 中 定义 的 准则 主要 涉及 商用 可 信 计 算 机 及 数据 处 理 系 统 。 准 则 中 描述 了 不 
同安 全 级 别 的 最 低 要 求 .特点 和 可 信 措 施 。 其 目的 有 3 个 : 一 是 为 生产 厂家 提供 一 种 安 
全 标准 ,二 是 为 国防 部 评估 信息 产品 可 信 度 提供 一 种 安全 量度 ,三 是 为 产品 规格 中 规定 
的 安全 要 求 提供 基准 。TCSEC 将 安全 等 级 分 为 A、B、C.D 四 级 。 其 中 A 为 最 高 级 ,D 为 
最 低级 。 每 级 的 具体 划分 确定 按 安 全 策略 、 可 计算 性 、 可 信赖 性 和 文件 编制 4 个 方面 进 
行 。 表 11.1 给 出 了 TCSEC 中 确定 的 安全 级 别 及 其 功能 说 明 。 
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表 11.1 TCSEC 的 安全 级 别 及 特征 


类 别 级 别 名 称 主要 特征 

D D 低级 保护 没有 安全 保护 

Ce 自主 安全 保护 自主 存储 控制 

C2 受 控 存储 控制 单独 的 可 查 性 ,安全 标识 
Bl 标记 安全 保护 强制 存 取 控制 ,安全 标识 

B B2 结构 化 保护 面向 安全 的 体系 结构 , 较 好 的 抗 渗透 能 力 
B3 安全 区 域 存 取 监 控 、 高 抗 渗透 能 力 

A A 验证 设计 形式 化 的 最 高 级 描述 和 验证 


注 : 表 中 灰色 背景 部 分 表示 应 用 最 广泛 的 安全 级 别 


(1) D 级 是 最 低 的 安全 级 别 , 经 评估 后 所 有 达 不 到 Cl 级 的 系统 都 属于 这 个 级 别 。 拥 
有 这 个 级 别 的 操作 系统 几乎 没有 任何 安全 保护 措施 ,就 像 一 个 门户 大 开 的 房子 ,任何 人 
都 可 以 自由 进出 ,是 完全 不 可 信任 的 。 这 种 系统 没有 身份 认证 和 访问 控制 机 制 ,任何 人 
不 需要 任何 口令 就 可 以 进入 系统 ,不 受 任何 限制 可 以 访问 他 人 的 数据 文件 。 属 于 这 个 级 
别 的 操作 系统 有 MS-DOS。 

(2) Cl 级 是 C 类 的 一 个 安全 子 级 。C1 级 又 称 自主 安全 保护 (discretionary security 
protection) 级 , 它 能 实现 粗 粒 度 的 自主 访问 控制 机 制 , 并 能 通过 账户 .口令 对 用 户 进 行 身 
份 认证 ,系统 能 把 用 户 与 数据 隔离 ,通过 拥有 者 自 定义 和 控制 ,防止 自己 的 数据 被 别 的 用 
户 破坏 。 属 于 这 个 级 别 的 操作 系统 是 Windows 9x 系列 。 

(3) C2 级 实现 更 细 粒 度 的 可 控 自 主 访问 控制 ,保护 粒度 要 求 达 到 单个 主体 和 客体 一 
级 ,就 是 可 以 针对 每 个 主体 或 客体 设置 单独 的 访问 控制 策略 ,这 可 防止 自主 访问 权 失 控 
扩散 ;其 次 ,要求 消除 残留 信息 (内 存 、 外 存 、 寄 存 器 中 的 信息 ) 汇 露 ;再 次 ,要 求 具有 审计 
功能 ,这 是 C2 级 与 Cl 级 的 主要 区 别 , 审 计 粒 度 要 能 够 跟踪 每 个 主体 对 每 个 客体 的 每 一 
次 访问 。 对 审计 记录 应 该 提供 保护 ,防止 非法 修改 。 能 够 达到 C2 级 标准 的 典型 操作 系 
统 有 Windows 2000/XP、Windows 2003 及 UNIX。 

(4) Bl 级 称 为 带 标 记 的 访问 控制 保护 级 。B1 级 采用 强制 访问 控制 MAC, 它 规定 主 
客体 都 必须 带 有 标记 (如 秘密 ,绝密 ) ,并 准确 体现 其 安全 级 别 , 保 护 机 制 根据 标记 对 主体 
和 客体 实施 强制 访问 控制 及 审计 等 安全 机 制 。B1l 级 能 够 较 好 地 满足 大 型 企业 或 一 般 政 
府 部 门 对 于 数据 的 安全 需求 ,Bl 级 的 安全 产品 可 称 得 上 是 真正 意义 上 的 安全 产品 。 

(5) B2 级 称 为 结构 化 保护 级 。 它 为 系统 建立 形式 化 的 安全 策略 模型 ,并 要 求 把 系统 
内 部 结构 化 地 划分 成 独立 的 模块 ,B2 级 不 仅 要 求 对 所 有 主体 和 客体 加 标记 ,而 且 要 求 给 
设备 (磁盘 、 磁 带 或 终端 ) 分 配 一 个 或 多 个 安全 级 别 ( 实 现 设备 标记 )。 必 须 对 所 有 的 主体 
与 客体 (包括 设备 ) 实 施 强制 性 访问 控制 保护 ,必须 要 有 专职 人 员 负 责 实施 访问 控制 策 
略 ,其 他 用 户 无 权 管 理 。 

(6) B3 级 ,又 称 为 安全 域 (security domain) 级 别 , 使 用 安装 硬件 的 方式 来 加 强 域 的 
安全 。 该 级 别 要 求 用 户 通过 一 条 可 信任 途径 连接 到 系统 上 。 
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(7) A 级 ,又 称 验 证 设计 (verified design) 级 , 它 包 含 了 一 个 严格 的 设计 、 控 制 和 验证 
过 程 。 要 求 建立 系统 的 安全 模型 , 且 可 形式 化 验证 的 系统 设计 。 设 计 必 须 从 数学 角度 进 
行 验证 ,而 且 必 须 进行 秘密 通道 和 可 信任 分 布 分 析 。 可 信任 分 布 分 析 的 含义 是 : 硬件 和 
软件 在 物理 传输 过 程 中 已 经 受到 保护 ,以 防止 破坏 安全 系统 。A 级 系统 的 要 求 极 高 , 达 
到 这 种 要 求 的 系统 很 少 , 我 国 的 标准 去 掉 了 A 级 标准 。 

提示 : TCSEC 的 安全 级 别 中 最 常见 的 是 C1.C2 和 Bl 级 。 如 果 一 个 系统 具有 身份 
认证 和 粗 粒 度 的 自主 访问 控制 机 制 ,那么 它 能 达到 Cl 级。 如 果 系 统 不 具备 审计 功能 , 则 
肯定 不 能 达到 C2 级 。 如 果 系 统 不 具备 强制 访问 控制 机 制 , 则 肯定 不 能 达到 B1 级 。 


1123 信息 管理 评估 标准 


在 信息 管理 领域 的 评估 标准 有 3 种 ,分 别 如 下 : 

(1) CCCCommon Criteria ,通用 标准 ) 是 ISO/IEC 15408( 信 息 技术 、 安 全 技术 、 信 息 
技术 安全 性 评价 准则 ) 的 简称 。 它 是 第 一 个 世界 通过 的 信息 技术 安全 评价 标准 。1985 
年 ,美国 首先 发 表 了 TCSEC 标准 ,随后 ,欧洲 各 国 也 相继 发 表 了 自己 的 安全 评估 标准 ,从 
而 出 现 标 准 不 统一 、 各 自 为 政 的 现象 。 为 了 改变 这 种 状况 ,1993 年 ,英国 ,法 国 、 德 国 、 荷 
兰 .加拿大 和 美国 的 标准 技术 研究 所 (NIST)、 国 家 安全 局 (NSA) 在 TCSEC 等 评估 标准 
基础 上 ,指定 了 国际 通用 的 安全 技术 评估 标准 CC。 

(2) BS7799 是 以 安全 管理 为 基础 ,提供 一 个 完整 的 切入 、 实 施 和 维护 的 文档 化 组 织 
内 部 的 信息 安全 的 框架 。BS7799 充分 反映 了 PDCA(Plan-Do-Check-Act) 循 环 的 思想 。 
具体 体现 在 : 确定 信息 安全 管理 的 方针 和 范围 ,在 风险 评估 的 基础 上 选择 适宜 的 控制 目 
标 与 控制 方式 并 进行 控制 ,制定 商务 持续 性 计划 ,建立 并 实施 信息 安全 管理 体系 。 

(3) 系统 安全 工程 能 力 成 熟 度 模型 SSE-CMM (System Security Engineering 
Capability Maturity Mode) 描 述 了 一 个 组 织 的 安全 工程 过 程 必须 包含 的 本 质 特 征 , 这 些 
特征 是 完善 的 安全 工程 的 保证 。 尽 管 SSE-CMM 没有 规定 一 个 特定 的 过 程 和 步骤 ,但 是 
汇集 了 工业 界 常见 的 实施 方法 。 

CMM 最 初 是 软件 工程 中 的 概念 ,是 对 于 软件 组 织 在 定义 实施、 度量 控制 和 改善 其 
软件 过 程 的 实践 中 各 个 发 展 阶段 的 描述 。 后 来 经 过 美国 专家 组 深入 研究 、 多 方 实验 验 
证 ,CMM 可 用 于 安全 工程 ,并 于 1996 年 推出 了 SSE-CMM 的 第 1 个 版 本 。2002 年 ， 
SSE-CMM 被 ISO 组 织 接纳 为 国际 标准 ISO/IEC 21872。 

近年 来 我 国 很 多 电子 政务 .信息 网 站 迅速 崛起 并 运行 ,然而 大 多 数 的 网 站 规划 建设 
主要 从 硬件 和 应 用 平台 去 考虑 系统 的 安全 ,缺乏 统一 的 安全 规划 ,缺乏 对 网 站 整个 生命 
周期 的 安全 性 的 全 面 考虑 ,导致 系统 的 建设 过 程 和 投入 运行 存在 许多 安全 隐患 。 

信息 网 站 的 安全 工程 ,要 求 建 设 人 员 和 管理 部 门 用 系统 工程 的 概念 、 理 论 和 方法 来 
研究 ,从 全 局 出 发 对 网 站 的 信息 安全 进行 全 面 规划 ,组 织 实施 各 种 安全 技术 保护 ,构建 合 
理 的 安全 保障 体系 。 

信息 网 站 安全 体系 建设 的 效果 主要 体现 在 它 具 备 什么 样 的 安全 能 力 。 安 全 能 力 的 
高 低 等 同 于 安全 工程 过 程 的 成 熟 度 水 平 。 网 站 的 安全 过 程 是 针对 Web 站 点 信息 工程 的 
安全 生命 周期 而 设计 的 , 它 通 过 对 各 系统 的 安全 任务 进行 抽象 并 划分 为 过 程 后 进行 管理 
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的 途径 ,将 系统 安全 工程 过 程 转变 为 完好 定义 的 成 熟 的 .可 测量 的 工作 。 

统计 过 程控 制 理论 发 现 ,所 有 成 功 的 管理 共同 的 特点 是 都 具有 一 组 定义 严格 、 管 理 
完善 ,可 测 可 控 、 高 度 有 效 的 工作 过 程 。Web 站 点 安全 工程 必须 采用 一 种 过 程 性 控制 方 
法 来 保证 工程 的 质量 以 及 可 信和 度 ,SSE-CMM 模型 就 是 这 样 一 种 能 够 满足 需求 的 面向 工 
程 过 程 的 安全 管理 模型 , 它 从 安全 工程 中 抽取 出 一 组 关键 的 工作 过 程 并 定义 了 过 程 的 能 
力 ,一 个 过 程 的 能 力 是 通过 执行 这 一 过 程 所 可 能 得 到 结果 的 质量 的 变化 范围 。 其 变化 范 
围 越 小 ,过 程 的 能 力 越 成 熟 。 


11.3 信和 齐 安全 风险 管理 


风险 管理 是 降低 各 种 风险 的 发 生 概率 ,或 当 某 种 风险 降临 时 减少 损失 程度 的 管理 


11.31 风险 管理 概述 


1. 什么 是 风险 


安全 威胁 是 指 某 个 人 、 物 、 事 件 或 概念 对 某 一 资源 的 机 密 性 、 完 整 性 、 真 实 性 、 可 用 性 
等 所 造成 的 危险 。 安 全 威胁 是 由 系统 中 固有 的 脆弱 性 造成 的 。 脆 弱 性 是 指 在 执行 防护 
措施 或 在 缺少 防护 措施 时 系统 所 具有 的 弱点 。 

系统 存在 许多 弱点 ,这些 不 同 的 弱点 在 引发 攻击 时 所 造成 的 损失 是 不 同 的 。 人 们 党 
用 风险 来 衡量 脆弱 性 所 导致 的 安全 威胁 的 大 小 。 风 险 是 关于 某 个 已 知 的 .可 能 引发 某 种 
攻击 的 脆弱 性 的 代价 的 测度 。 

当 某 个 脆弱 的 资源 价值 较 高 , 且 发 送 成 功 攻击 的 概率 较 高 时 ,风险 也 就 高 ; 当 某 个 脆 
弱 的 资源 价值 较 低 , 且 发 生成 功 攻击 的 概率 较 低 时 ,风险 也 就 低 。 

企业 在 生产 经 营 的 各 个 方面 都 存在 着 风险 : 由 于 市 场 竞 争 导致 的 各 类 竞争 风险 ,由 
于 社会 发 展 与 技术 创新 而 产生 的 变革 风险 ,与 各 类 合作 伙伴 之 间 的 各 类 风险 ,金融 与 财 
务 风险 等 。 

信息 的 出 现 使 企业 不 仅 面 临 着 上 述 各 种 传统 风险 ,同时 还 带 来 了 一 些 新 的 风险 : 信 
息 活动 依赖 于 网 络 和 信息 系统 环境 的 支持 ,而 开放 的 网 络 环境 和 复杂 的 企业 商务 活动 会 
产生 更 多 的 风险 。 因 此 ,在 考察 电子 商务 运行 环境 ,提供 信息 安全 解决 方案 的 同时 ,有 必 
要 重点 评估 电子 商务 系统 面临 的 风险 问题 以 及 对 风险 有 效 的 管理 和 控制 方法 。 


2. 风险 的 特征 


风险 是 由 于 人 们 没有 能 力 预见 未 来 而 产生 的 ,风险 具有 如 下 特征 : 

(1) 客观 性 。 首 先 表 现 为 它 的 存在 不 以 人 的 意志 为 转移 。 其 次 ,还 表现 在 它 是 无 时 
不 有 、 无 所 不 在 的 ,存在 于 人 类 任何 时 候 从 事 的 任何 活动 之 中 。 

(2) 不 确定 性 。 是 指 风险 的 发 生 是 不 确定 的 , 即 风险 的 程度 有 多 大 ,风险 何 时 何 地 由 
可 能 转变 为 现实 均 是 不 确定 的 。 这 是 由 于 人 们 对 客观 世界 的 认识 受到 各 种 条 件 的 限制 ， 
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不 可 能 准确 预测 风险 的 发 生 。 

(3) 不 利 性 。 风 险 一 旦 转变 为 现实 ,就 会 对 风险 承担 者 带 来 不 利 影响 和 损失 ,这 对 风 
险 主体 是 极为 不 利 的 。 风 险 的 不 利 性 要 求人 们 在 承认 风险 .认识 风险 的 基础 上 ,做 好 决 
策 , 尽 可 能 避免 风险 ,将 风险 的 不 利 性 降 到 最 低 。 

(4) 可 变性 。 风 险 在 一 定 条 件 下 可 以 转化 。 风 险 的 可 变性 包括 : 风险 性 质 的 变化 ， 
风险 量 的 变化 , 某 些 风险 在 一 定时 间 和 空间 范围 内 被 消除 ,新 的 风险 产生 。 

(5) 相对 性 。 对 于 风险 主体 来 说 ,即使 风险 是 相同 的 ,不 同 风险 主体 对 风险 的 承受 能 
力也 是 不 同 的 ,这 主要 与 收益 的 大 小 .投入 的 大 小 和 风险 主体 拥有 的 资源 量 和 地 位 有 关 。 


3. 风险 管理 的 内 容 和 过 程 


风险 管理 由 3 部 分 组 成 : 风险 评估 、 风 险 处 理 以 及 基于 风险 的 决策 。 风 险 评估 将 全 
面 评估 企业 的 资产 、 威 胁 、 脆 弱 性 以 及 现 有 的 安全 措施 ,分 析 安 全 事件 发 生 的 可 能 性 以 及 
可 能 的 损失 ,从 而 确定 企业 的 风险 ,并 判断 风险 的 优先 级 ,建议 处 理 风 险 的 措施 。 

基于 风险 评估 的 结果 ,风险 处 理 过 程 将 考察 企业 安全 措施 的 成 本 ,选择 合适 的 方法 
处 理 风险 ,将 风险 控制 在 可 接受 的 程度 。 

基于 风险 的 决策 旨 在 由 企业 的 管理 者 判断 残余 的 风险 是 否 处 在 可 接受 的 水 平 之 内 ， 
基于 这 一 判断 ,管理 者 将 作出 决策 ,决定 是 否 进行 某 项 电子 商务 活动 。 


1132 风险 评估 


风险 评估 是 确定 一 个 信息 系统 面临 的 风险 级 别 的 过 程 ,是 风险 管理 的 基础 。 通 过 风 
险 评估 确定 系统 中 的 剩余 风险 ,并 判断 该 风险 级 别 是 否 可 以 接受 或 需要 实施 附加 措施 来 
进一步 降低 。 风 险 取 决 于 威胁 发 生 的 概率 和 相应 的 影响 。 风 险 评估 实施 的 流程 图 如 
图 11.2 所 示 。 


风险 评估 准备 
i | i 
资产 识别 威胁 识别 脆弱 性 识别 
风险 计算 


风险 可 否 接受 


保持 已 有 的 安全 措施 


实施 风险 管理 


图 11.2 风险 评估 实施 流程 图 
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Hsin 


1. 风险 评估 准备 


风险 评估 的 准备 是 整个 风险 评估 过 程 有 效 性 的 保证 。 风 险 评估 准备 包括 以 下 几 项 
工作 : 

(1) 确定 目标 。 明 确 风险 评估 的 目标 ,为 风险 评估 的 过 程 提供 导向 。 

(2) 确定 范围 。 基 于 风险 评估 目标 确定 风险 评估 范围 是 完成 风险 评估 的 前 提 。 

(3) 选择 方法 。 应 考虑 评 估 的 目的 范围 .时 间 、 效 果 、 人 员 素 质 等 因素 来 选择 具体 的 
风险 判断 方法 ,并 组 建 风险 评估 管理 的 实施 团队 。 


2. 资产 识别 


企业 信息 资产 是 企业 直接 赋予 了 价值 而 需要 保护 的 东西 , 它 分 为 有 形 资产 和 无 形 资 
产 两 大 类 ,包括 硬件 .软件 .文档 .代码 以 及 服务 和 企业 形象 等 。 在 企业 风险 评估 的 资产 
识别 阶段 ,首先 要 对 信息 资产 进行 恰当 的 分 类 ,如 下 所 示 

(1) 硬件 ,包括 服务 器 PC、 路由器、 交换 机 、 硬 件 防 火 墙 ,人 侵 检测 系统 .安全 网 关 、 
备份 存储 设备 、 硬 件 垃圾 邮件 过 滤 系 统 、 硬 件 网 络 安全 审计 系统 。 

(2) 软件 ,包括 系统 软件 .中 间 件 .数据库 软件 .网 站 信息 发 布 系统 .网 站 邮件 系统 、 网 
站 监控 与 恢复 系统 和 其 他 应 用 软件 等 。 

(3) 数据 ,包括 软 硬 件 运行 中 的 中 间 数 据 ` 备 份 资料 .系统 状态 .审计 日 志 、 数 据 库 资 
料 等 。 

(4) 文档 ,包括 系统 文档 .运行 管理 规程 .计划 和 报告 等 。 

(5) 人 员 ,包括 网 络 管理 员 .应 用 维护 人 员 一 般 用 户 等 。 

(6) 无 形 资产 ,包括 企业 形象 .客户 资源 等 。 


3. 威胁 识别 


威胁 是 一 种 对 组 织 及 其 资产 构成 潜在 破坏 的 可 能 性 因素 ,是 客观 存在 的 。 造 成 威胁 的 
因素 可 分 为 人 为 因素 和 环境 因素 ,根据 威胁 的 动机 ,人 为 因素 又 可 分 为 恶意 和 无 意 两 种 。 

威胁 强度 取决 于 两 方面 ,一 是 攻击 者 的 攻击 技术 级 别 ,二 是 对 企业 内 部 知识 的 了 解 
程度 。 也 就 是 说 ,一 个 低 技能 的 外 部 攻击 者 对 系统 的 威胁 是 低级 别 的 威胁 ,而 一 个 高 技 
能 的 内 部 员工 则 是 最 危险 的 威胁 。 


4. 脆弱 性 识别 


脆弱 性 识别 也 称 为 弱点 识别 ,弱点 是 资产 本 身 存在 的 ,威胁 总 是 要 利用 资产 的 弱点 
才 可 能 造成 危害 。 脆 弱 性 识别 可 根据 每 个 资产 分 别 识别 其 存在 的 弱点 ,然后 综合 评价 该 
资产 的 脆弱 性 ,也 可 分 物理 .网络 、 系 统 、 应 用 等 层次 进行 识别 ,然后 与 资产 .威胁 结合 
起 来 。 

脆弱 性 识别 主要 从 技术 和 管理 两 个 方面 进行 。 技 术 脆 弱 性 涉及 物理 层 、 网 络 层 . 系 统 
层 和 应 用 层 等 各 个 层面 的 安全 问题 。 管 理 脆弱 性 又 可 分 为 技术 管理 和 组 织 管理 两 方面 ,前 
者 与 技术 活动 有 关 , 后 者 与 管理 环境 相关 。 表 11. 2 提供 了 一 种 脆弱 性 识别 内 容 的 参考 。 


类 型 | 识别 对 象 
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表 11.2 脆弱 性 识别 内 容 表 
识别 内 容 


物理 环境 


机 房 场 地 、 机 房 防火 、 防 雷 、 防 静电 、 防 鼠 害 .电磁 防护 、 通 信 线 路 的 保护 、 机 
房 设备 管理 


服务 器 


用 户 账 号 和 口令 保护 资源 共享 .事件 审计 ` 访 问 控制 .系统 配置 .注册 表 、 
网 络 安全 、 系 统管 理 等 


技术 脆弱 性 
网 络 结构 


网 络 结构 设计 、 边 界 保护 、 外 部 访问 控制 策略 、 内 部 访问 控制 策略 、 网 络 设 
备 安全 配置 等 


数据 库 


认证 机 制 , 口 令 , 访 问 控制 .网 络 和 服务 设置 .备份 恢复 机 制 、 审 计 机 制 


应 用 系统 


认证 机 制 , 访 问 控制 策略 、 审 计 机 制 .数据 完整 性 


技术 管理 


环境 安全 ,通信 与 操作 管理 ,访问 控制 ,系统 开发 与 维护 .业务 连续 性 


管理 脆弱 性 


组 织 管理 


5. 风险 计算 


安全 策略 ,组织 安 全 ,资产 分 类 与 控制 人 员 安 全 、 符 合 性 


在 完成 了 资产 识别 .威胁 识别 和 脆弱 性 识别 后 ,将 采用 风险 计算 公式 计算 威胁 利用 
脆弱 性 导致 安全 事件 发 生 的 可 能 性 ,以 及 在 发 生 安全 事故 时 对 组 织造 成 损失 的 程度 。 风 


险 计算 公式 如 下 : 


风险 值 = RC(A,T,V) = RCL(T,V)， F(I,,V.)) 
其 中 ,R 表示 风险 计算 函数 ,A、T、V 分 别 表示 资产 .威胁 和 脆弱 性 ,L 表示 安全 事件 发 生 
的 可 能 性 ,下 表示 安全 事件 发 生 后 造成 的 损失 ,1, 表示 资产 重要 程度 ,V。 表示 脆弱 性 的 严 


重 程 度 。 


根据 风险 计算 的 结果 对 风险 结果 进行 判定 ,风险 可 划分 为 5 个 等 级 ,等 级 越 高 ,风险 
越 高 。 风 险 评 估 完 成 后 ,应 将 评估 过 程 记录 成 相关 文件 。 


忆 题 


二 ) 不 是 风险 管理 的 四 阶段 之 一 。 


A. 计划 


B. 开发 C. 评估 D. 执行 


2. 风险 评估 不 包含 ( ) 的 内 容 。 


A. 风险 识别 


B. 脆弱 性 识别 C. 威胁 识别 D. 人 员 识 别 


3 ) 属 于 电子 商务 的 信用 风险 。 


A. 信息 传输 


B. 交易 抵赖 C. 交易 流程 D. 系统 安全 


4. 什么 是 风险 管理 ? 它 对 保障 信息 系统 安全 有 何 作 用 ? 
5. 简 述 制定 信息 安全 策略 的 原则 和 步骤 。 
6. 请 你 为 某 大 学 的 信息 管理 部 门 制订 一 套 信息 安全 管理 评估 标准 ,主要 评估 内 容 包 
括 人 员 配 置 .操作 规程 .环境 建设 等 。 要 求 具 有 良好 的 可 操作 性 和 明确 的 等 级 标准 。 
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